Postgresql-7.4
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
8.5
Макс. EPSS
0.13255
Распределение по критичности
Критический
0
Высокий
3
Средний
9
Низкий
1
Также сопоставлено как (исходные строки): postgresql-7.4
Топ уязвимостей
CVE-2007-0555PostgreSQL 7.3 до 7.3.13, 7.4 до 7.4.16, 8.0 до 8.0.11, 8.1 до 8.1.7 и 8.2 до 8.2.2 позволяет злоумышленникам отключать определенные проверки типов данных аргументов SQL-функций, что позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой сервера) и, возможно, получать доступ к содержимому базы данных.
CVE-2006-2314PostgreSQL 8.1.x до 8.1.4, 8.0.x до 8.0.8, 7.4.x до 7.4.13, 7.3.x до 7.3.15 и более ранние версии позволяют злоумышленникам, зависящим от контекста, обходить методы защиты от SQL-инъекций в приложениях, которые используют многобайтовые кодировки, которые позволяют байту "\" (обратная косая черта) 0x5c быть замыкающим байтом многобайтового символа, такие как SJIS, BIG5, GBK, GB18030 и UHC, которые не могут быть правильно обработаны клиентом, который не понимает многобайтовые кодировки, также известную как второй вариант "SQL-инъекции на основе кодировки". ПРИМЕЧАНИЕ: можно утверждать, что это класс проблем, связанных с ошибками взаимодействия между клиентом и PostgreSQL, но CVE было назначено, поскольку PostgreSQL рассматривает это как превентивную меру против этого класса проблем.
CVE-2006-2313PostgreSQL 8.1.x до 8.1.4, 8.0.x до 8.0.8, 7.4.x до 7.4.13, 7.3.x до 7.3.15 и более ранние версии позволяют злоумышленникам, зависящим от контекста, обходить методы защиты от SQL-инъекций в приложениях через недопустимые кодировки многобайтовых символов, также известную как один из вариантов "SQL-инъекции на основе кодировки".
CVE-2009-3231Основной компонент сервера в PostgreSQL 8.3 до версии 8.3.8 и 8.2 до версии 8.2.14, при использовании аутентификации LDAP с анонимными привязками, позволяет удаленным злоумышленникам обходить аутентификацию через пустой пароль.
CVE-2007-0556Планировщик запросов в PostgreSQL до 8.0.11, 8.1 до 8.1.7 и 8.2 до 8.2.2 не проверяет, совместима ли таблица с "ранее созданным планом запроса", что позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой сервера) и, возможно, получать доступ к содержимому базы данных через SQL-запрос "ALTER COLUMN TYPE", который можно использовать для чтения произвольной памяти с сервера.
CVE-2009-3230Основной компонент сервера в PostgreSQL 8.4 до версии 8.4.1, 8.3 до версии 8.3.8, 8.2 до версии 8.2.14, 8.1 до версии 8.1.18, 8.0 до версии 8.0.22 и 7.4 до версии 7.4.26 не использует соответствующие привилегии для операций (1) RESET ROLE и (2) RESET SESSION AUTHORIZATION, что позволяет удаленным аутентифицированным пользователям получать привилегии. ПРИМЕЧАНИЕ: это связано с неполным исправлением CVE-2007-6600.
CVE-2007-2138Уязвимость ненадежного пути поиска в PostgreSQL до 7.3.19, 7.4.x до 7.4.17, 8.0.x до 8.0.13, 8.1.x до 8.1.9 и 8.2.x до 8.2.4 позволяет удаленным аутентифицированным пользователям, которым разрешено вызывать функцию SECURITY DEFINER, получать привилегии владельца функции, связанные с "search_path settings".
CVE-2010-0442Функция bitsubstr в backend/utils/adt/varbit.c в PostgreSQL 8.0.23, 8.1.11 и 8.3.8 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой демона) или оказывать другое неуказанное воздействие через векторы, включающие отрицательное целое число в третьем аргументе, как продемонстрировано оператором SELECT, содержащим вызов функции substring для битовой строки, связанный с "переполнением".
CVE-2009-4136PostgreSQL 7.4.x до 7.4.27, 8.0.x до 8.0.23, 8.1.x до 8.1.19, 8.2.x до 8.2.15, 8.3.x до 8.3.9 и 8.4.x до 8.4.2 неправильно управляет локальным состоянием сеанса во время выполнения индексной функции суперпользователем базы данных, что позволяет удаленным аутентифицированным пользователям получать привилегии через таблицу со специально созданными индексными функциями, как демонстрируют функции, которые изменяют (1) search_path или (2) подготовленное утверждение, что является связанной проблемой с CVE-2007-6600 и CVE-2009-3230.
CVE-2009-3229Основной компонент сервера в PostgreSQL 8.4 до версии 8.4.1, 8.3 до версии 8.3.8 и 8.2 до версии 8.2.14 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (завершение работы бэкенда) путем "повторной ЗАГРУЗКИ" библиотек из определенного каталога плагинов.
CVE-2009-0922PostgreSQL до 8.3.7, 8.2.13, 8.1.17, 8.0.21 и 7.4.25 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (потребление стека и сбой), вызывая сбой при преобразовании локализованного сообщения об ошибке в кодировку, указанную клиентом, как продемонстрировано с помощью несовпадающих запросов преобразования кодировки.
CVE-2006-5541backend/parser/parse_coerce.c в PostgreSQL 7.4.1 до 7.4.14, 8.0.x до 8.0.9 и 8.1.x до 8.1.5 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой демона) через приведение неизвестного элемента к ANYARRAY.
CVE-2009-4034PostgreSQL 7.4.x до 7.4.27, 8.0.x до 8.0.23, 8.1.x до 8.1.19, 8.2.x до 8.2.15, 8.3.x до 8.3.9 и 8.4.x до 8.4.2 неправильно обрабатывает символ '\0' в имени домена в поле Common Name (CN) субъекта сертификата X.509, что (1) позволяет злоумышленникам man-in-the-middle подделывать произвольные SSL-серверы PostgreSQL через специально созданный серверный сертификат, выданный законным центром сертификации, и (2) позволяет удаленным злоумышленникам обходить ограничения, связанные с именем хоста клиента, через специально созданный клиентский сертификат, выданный законным центром сертификации, что является проблемой, связанной с CVE-2009-2408.