Postgresql-8.3
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
6.8
Макс. EPSS
0.13255
Распределение по критичности
Критический
0
Высокий
0
Средний
12
Низкий
1
Также сопоставлено как (исходные строки): postgresql-8.3
Топ уязвимостей
CVE-2010-1447Модуль Safe (aka Safe.pm) 2.26 и некоторые более ранние версии для Perl, используемые в PostgreSQL 7.4 до 7.4.29, 8.0 до 8.0.25, 8.1 до 8.1.21, 8.2 до 8.2.17, 8.3 до 8.3.11, 8.4 до 8.4.4 и 9.0 Beta до 9.0 Beta 2, позволяют злоумышленникам, зависящим от контекста, обходить предполагаемые ограничения доступа (1) Safe::reval и (2) Safe::rdo, а также внедрять и выполнять произвольный код через векторы, включающие ссылки на подпрограммы и отложенное выполнение.
CVE-2009-3231Основной компонент сервера в PostgreSQL 8.3 до версии 8.3.8 и 8.2 до версии 8.2.14, при использовании аутентификации LDAP с анонимными привязками, позволяет удаленным злоумышленникам обходить аутентификацию через пустой пароль.
CVE-2009-3230Основной компонент сервера в PostgreSQL 8.4 до версии 8.4.1, 8.3 до версии 8.3.8, 8.2 до версии 8.2.14, 8.1 до версии 8.1.18, 8.0 до версии 8.0.22 и 7.4 до версии 7.4.26 не использует соответствующие привилегии для операций (1) RESET ROLE и (2) RESET SESSION AUTHORIZATION, что позволяет удаленным аутентифицированным пользователям получать привилегии. ПРИМЕЧАНИЕ: это связано с неполным исправлением CVE-2007-6600.
CVE-2010-3433Реализации PL/perl и PL/Tcl в PostgreSQL 7.4 до 7.4.30, 8.0 до 8.0.26, 8.1 до 8.1.22, 8.2 до 8.2.18, 8.3 до 8.3.12, 8.4 до 8.4.5 и 9.0 до 9.0.1 неправильно защищают выполнение скрипта другой идентификацией пользователя SQL в рамках одного сеанса, что позволяет удаленным аутентифицированным пользователям получить привилегии через специально созданный код скрипта в функции SECURITY DEFINER, как продемонстрировано (1) переопределением стандартных функций или (2) переопределением операторов, что является иной уязвимостью, чем CVE-2010-1168, CVE-2010-1169, CVE-2010-1170 и CVE-2010-1447.
CVE-2010-1169PostgreSQL 7.4 до 7.4.29, 8.0 до 8.0.25, 8.1 до 8.1.21, 8.2 до 8.2.17, 8.3 до 8.3.11, 8.4 до 8.4.4 и 9.0 Beta до 9.0 Beta 2 неправильно ограничивает процедуры PL/perl, что позволяет удаленным аутентифицированным пользователям с привилегиями создания базы данных выполнять произвольный код Perl через специально созданный скрипт, связанный с модулем Safe (aka Safe.pm) для Perl. ПРИМЕЧАНИЕ: некоторые источники сообщают, что эта проблема совпадает с CVE-2010-1447.
CVE-2010-0442Функция bitsubstr в backend/utils/adt/varbit.c в PostgreSQL 8.0.23, 8.1.11 и 8.3.8 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой демона) или оказывать другое неуказанное воздействие через векторы, включающие отрицательное целое число в третьем аргументе, как продемонстрировано оператором SELECT, содержащим вызов функции substring для битовой строки, связанный с "переполнением".
CVE-2010-4015Переполнение буфера в функции gettoken в contrib/intarray/_int_bool.c в модуле массива intarray в PostgreSQL 9.0.x до 9.0.3, 8.4.x до 8.4.7, 8.3.x до 8.3.14 и 8.2.x до 8.2.20 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через целые числа с большим количеством цифр в неуказанных функциях.
CVE-2010-1975PostgreSQL 7.4 до 7.4.29, 8.0 до 8.0.25, 8.1 до 8.1.21, 8.2 до 8.2.17, 8.3 до 8.3.11 и 8.4 до 8.4.4 не проверяет должным образом привилегии во время определенных операций RESET ALL, что позволяет удаленным аутентифицированным пользователям удалять произвольные настройки параметров с помощью оператора (1) ALTER USER или (2) ALTER DATABASE.
CVE-2010-1170Реализация PL/Tcl в PostgreSQL 7.4 до 7.4.29, 8.0 до 8.0.25, 8.1 до 8.1.21, 8.2 до 8.2.17, 8.3 до 8.3.11, 8.4 до 8.4.4 и 9.0 Beta до 9.0 Beta 2 загружает код Tcl из таблицы pltcl_modules независимо от права собственности и разрешений таблицы, что позволяет удаленным аутентифицированным пользователям с привилегиями создания базы данных выполнять произвольный код Tcl, создав эту таблицу и вставив специально созданный скрипт Tcl.
CVE-2009-4136PostgreSQL 7.4.x до 7.4.27, 8.0.x до 8.0.23, 8.1.x до 8.1.19, 8.2.x до 8.2.15, 8.3.x до 8.3.9 и 8.4.x до 8.4.2 неправильно управляет локальным состоянием сеанса во время выполнения индексной функции суперпользователем базы данных, что позволяет удаленным аутентифицированным пользователям получать привилегии через таблицу со специально созданными индексными функциями, как демонстрируют функции, которые изменяют (1) search_path или (2) подготовленное утверждение, что является связанной проблемой с CVE-2007-6600 и CVE-2009-3230.
CVE-2009-3229Основной компонент сервера в PostgreSQL 8.4 до версии 8.4.1, 8.3 до версии 8.3.8 и 8.2 до версии 8.2.14 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (завершение работы бэкенда) путем "повторной ЗАГРУЗКИ" библиотек из определенного каталога плагинов.
CVE-2009-0922PostgreSQL до 8.3.7, 8.2.13, 8.1.17, 8.0.21 и 7.4.25 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (потребление стека и сбой), вызывая сбой при преобразовании локализованного сообщения об ошибке в кодировку, указанную клиентом, как продемонстрировано с помощью несовпадающих запросов преобразования кодировки.
CVE-2009-4034PostgreSQL 7.4.x до 7.4.27, 8.0.x до 8.0.23, 8.1.x до 8.1.19, 8.2.x до 8.2.15, 8.3.x до 8.3.9 и 8.4.x до 8.4.2 неправильно обрабатывает символ '\0' в имени домена в поле Common Name (CN) субъекта сертификата X.509, что (1) позволяет злоумышленникам man-in-the-middle подделывать произвольные SSL-серверы PostgreSQL через специально созданный серверный сертификат, выданный законным центром сертификации, и (2) позволяет удаленным злоумышленникам обходить ограничения, связанные с именем хоста клиента, через специально созданный клиентский сертификат, выданный законным центром сертификации, что является проблемой, связанной с CVE-2009-2408.