发布日期：2001-09-10
更新日期：2001-09-13

受影响系统：

pam-pgsql 0.9.2 by Joerg Wendland
pam_pgsql 0.0.3 by Alessandro Gardich
pam-pgsql 0.5.1 by Leon J Breedt

不受影响系统：

pam-pgsql-0.9.3

描述：

---

BUGTRAQ ID : 3317

一些PAM模块使用PostgreSQL作为后端数据库。其中一些版本的pam-pgsql模块存在一个安
全漏洞，允许攻击者插入SQL语句并执行。

如果系统是用PAM-pgsql来进行登录认证的话，那么攻击者就可以通过在用户名中加入某
些SQL语句的方法来使得这些语句被执行。这可能给攻击者以非法访问其他帐号或者提升
权限的机会。

<*来源：Florian Weimer (Florian.Weimer@RUS.Uni-Stuttgart.DE)
  链接：http://cert.uni-stuttgart.de/advisories/postgresql_pam_nss.php
*>


建议：

---

厂商补丁：

Joerg Wendland已经提供了最新版本以修复这个问题。您可以在产品主页上下载最新版本：

http://sourceforge.net/project/showfiles.php?group_id=24083

浏览次数：3615
严重程度：0（网友投票）