Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 091/2009

CERT-FI haavoittuvuustiedote 091/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

22.9.2009

Haavoittuvuuksia PostgreSQL-ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - käyttövaltuuksien laajentaminen
- palvelunestohyökkäys
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

PostgreSQL on tietokantaohjelmisto, joka on laajasti käytössä eri tietojärjestelmissä. PostgreSQL-ohjelmistosta on korjattu kolme uutta haavoittuvuutta.

Ensimmäinen haavoittuvuus mahdollistaa kirjautuneen käyttäjän aiheuttavan järjestelmässä palvelunestotilan lataamalla uudelleen tietokannan käyttämiä kirjastoliitännäisiä.

Toinen haavoittuvuus mahdollistaa kirjautuneen käyttäjän käyttövaltuuksien laajentamisen RESET ROLE ja RESET SESSION AUTHORIZATION -komentoja käyttäen.

Kolmas haavoittuvuus mahdollistaa hyökkääjän ohittamaan käyttäjätunnistuksen, mikäli järjestelmässä käytetään LDAP-hakemistopalveluun (Lightweight Directory Access Protocol) pohjautuvaa tunnistusta.

HAAVOITTUVAT OHJELMISTOT:

  • PostgreSQL ennen versioita 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22 tai 7.4.26

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti.

LISÄTIETOA:

PÄIVITYSHISTORIA:

22.9.2009, kello 15.30: Julkaistu

Sivua päivitetty 22.09.2009   Tulostusversio Tulostusversio