Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 029/2006

CERT-FI haavoittuvuustiedote 029/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

24.5.2006

Haavoittuvuuksia PostgreSQL-ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- tietojen muokkaaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

PostgreSQL on tietokantaohjelmisto, joka on laajasti käytössä eri tietojärjestelmissä. PostgreSQL-ohjelmistosta on löydetty kaksi uutta haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy syötteen tarkistuksessa tapahtuvaan virheeseen. Toinen haavoittuvuus liittyy koodinvaihtomerkkien (escaping) käytössä tapahtuvaan virheeseen käytettäessä tiettyjä merkistökoodauksia (esim. SJIS, BIG5, GBK, GB18030 tai UHC). Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista muun muassa muokata tietokannassa olevia tietoja tai suorittaa tietojärjestelmässä omia komentojaan.

HAAVOITTUVAT OHJELMISTOT:

  • PostgreSQL-ohjelmistoversiot ennen versiota 8.1.4

  • PostgreSQL-ohjelmistoversiot ennen versiota 8.0.8

  • PostgreSQL-ohjelmistoversiot ennen versiota 7.4.13

  • PostgreSQL-ohjelmistoversiot ennen versiota 7.3.15

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva PostgreSQL-ohjelmisto versioon 8.1.4, 8.0.8, 7.4.13 tai 7.3.15 osoitteesta:

http://www.postgresql.org/download/

LISÄTIETOA:

http://www.postgresql.org/docs/techdocs.50

http://www.frsirt.com/english/advisories/2006/1941

CVE-2006-2313

CVE-2006-2314

PÄIVITYSHISTORIA:

24.05.2006: Julkaistu
Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio