CVE-2019-9193，PostgreSQL任意程式碼執行漏洞警報

摘要： 最近，安全研究人員披露了PostgreSQL例項程式碼執行漏洞（CVE-2019-9193）的漏洞細節。具有資料庫伺服器檔案讀取許可權的攻擊者可以利用此漏洞執行任意系統命令。 圖片：Greenwolf 漏洞概述 最近，安全研究人員披露了PostgreSQL例項程式碼執行漏...

最近，安全研究人員披露了PostgreSQL例項程式碼執行漏洞（CVE-2019-9193）的漏洞細節。具有資料庫伺服器檔案讀取許可權的攻擊者可以利用此漏洞執行任意系統命令。

圖片：Greenwolf

漏洞概述

最近，安全研究人員披露了PostgreSQL例項程式碼執行漏洞（CVE-2019-9193）的漏洞細節。具有資料庫伺服器檔案讀取許可權的攻擊者可以利用此漏洞執行任意系統命令。

PostgreSQL是功能強大的資料庫軟體，可在所有主要作業系統上執行，包括Linux，Windows，Mac OS X等。所公開的漏洞存在於命令“COPY TO / FROM PROGRAM”中，用於匯入和匯出資料。在“pg_read_server_files”組中的使用者執行上述命令之後，可以獲得資料庫超級使用者許可權，從而執行任何系統命令。

受影響的版本

PostgreSQL> = 9.3

解決方案建議

pg_read_server_files，pg_write_server_files和pg_execute_server_program角色涉及讀取和寫入具有大許可權的資料庫伺服器檔案。將此角色許可權分配給資料庫使用者時，應慎重考慮。

Linux公社的RSS地址 ： https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址： https://www.linuxidc.com/Linux/2019-03/157732.htm