PostgreSQL任意代码执行漏洞安全通告
发布时间 2019-03-27漏洞编号和级别
CVE编号:CVE-2019-9193,危险级别:高危, CVSS分值:官方未评定
影响范围
PostgreSQL >=9.3
漏洞概述
PostgreSQL是一款功能强大的数据库软件,可运行在所有主流操作系统上,包括Linux、Windows、Mac OS X等。此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM”中,“pg_read_server_files”组内用户执行上述命令后,可获取数据库超级用户权限,从而执行任意系统命令。
修复建议
目前官方修复此漏洞的计划。pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色涉及到读写数据库服务端文件,权限较大,分配此角色权限给数据库用户时需谨慎考虑。
参考链接
京公网安备11010802024551号