【風險通告】PostgreSQL任意代碼執(zhí)行漏洞
2019-03-27 19:35:00
親愛的金山云用戶:
您好!2019年03月27日���,金山云安全應急響應中心監(jiān)控到PostgreSQL存在高危漏洞���,其漏洞細節(jié)已被披露,攻擊者可以利用此漏洞執(zhí)行任意系統(tǒng)命令�。詳情如下:
漏洞編號:
CVE-2019-9193
漏洞名稱:
PostgreSQL任意代碼執(zhí)行漏洞
漏洞危害等級:
高危
漏洞描述:
PostgreSQL是一個功能強大的對象關系數據庫系統(tǒng),可以在所有的主流操作系統(tǒng)中運行��。本次發(fā)現的漏洞存在于導入導出數據的命令“COPY TO/FROM PROGRAM”中�,這個命令允許數據庫的超級用戶以及pg_read_server_files組中的任何用戶執(zhí)行操作系統(tǒng)命令,也就是說數據庫的超級用戶與運行數據庫的用戶在操作系統(tǒng)上擁有相同的權限���,利用該漏洞可以執(zhí)行任意系統(tǒng)命令��。
影響版本:
PostgreSQL Postgresql >=9.3
修復方案:
目前官方未提供修復方案��,請及時關注官方補丁更新情況�����;
建議:pg_read_server_files�、pg_write_server_files、pg_execute_server_program 角色涉及到讀寫數據庫服務端文件����,權限較大,分配此角色權限給數據庫用戶時需謹慎考慮�。