PostgreSQL 多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1194878 漏洞类型 SQL注入
发布时间 2006-05-24 更新时间 2006-05-25
CVE编号 CVE-2006-2313 CNNVD-ID CNNVD-200605-460
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200605-460
|漏洞详情
PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL中存在多个SQL注入漏洞:1远程攻击者可以在SQL命令中嵌入特制字符串,使用无效编码的多字节字符绕过标准的字符转义模式,导致向数据库注入恶意的SQL命令。2如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话,则在处理这个多字节时将ASCII单引号"'"转义为"\'"的操作存在漏洞。这至少包括SJIS、BIG5、GBK、GB18030和UHC。如果在SQL命令中嵌入了不可信任字符,则在进行上述转换时存在SQL注入漏洞。
|参考资料

来源:VUPEN
名称:ADV-2006-1941
链接:http://www.frsirt.com/english/advisories/2006/1941
来源:MLIST
名称:[pgsql-announce]20060523SecurityReleasesforAllActiveVersions
链接:http://archives.postgresql.org/pgsql-announce/2006-05/msg00010.php
来源:www.postgresql.org
链接:http://www.postgresql.org/docs/techdocs.50
来源:XF
名称:postgresql-multibyte-sql-injection(26627)
链接:http://xforce.iss.net/xforce/xfdb/26627
来源:UBUNTU
名称:USN-288-1
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-288-1
来源:UBUNTU
名称:USN-288-2
链接:http://www.ubuntu.com/usn/usn-288-2
来源:TRUSTIX
名称:2006-0032
链接:http://www.trustix.org/errata/2006/0032/
来源:BID
名称:18092
链接:http://www.securityfocus.com/bid/18092
来源:BUGTRAQ
名称:20060524rPSA-2006-0080-1postgresqlpostgresql-server
链接:http://www.securityfocus.com/archive/1/archive/1/435161/100/0/threaded
来源:BUGTRAQ
名称:20060523PostgreSQLsecurityreleases8.1.4,8.0.8,7.4.13,7.3.15
链接:http://www.securityfocus.com/archive/1/archive/1/435038/100/0/threaded
来源:REDHAT
名称:RHSA-2006:0526
链接:http://www.redhat.