发布日期：2001-09-10
更新日期：2001-09-13

受影响系统：

libnss-pgsql 0.9.0 by Joerg Wendland
nss_postgresql 0.6.1 by Alessandro Gardich

不受影响系统：

libnss-pgsql1 0.9.2 by Joerg Wendland

描述：

---

BUGTRAQ  ID: 3314
CVE(CAN) ID: CVE-2001-1089

一些NSS模块使用PostgreSQL作为后端数据库。其中一些版本的存在一个安全漏洞，允许
攻击者插入SQL语句并执行。

攻击者需要有一个交互式的帐号才能进行攻击。攻击者可以插入任意SQL语句在数据库服
务器上执行，攻击者也可以控制查询返回的数据。这可能导致对数据库系统的非法访问。

<*来源：Florian Weimer (Florian.Weimer@RUS.Uni-Stuttgart.DE)
  链接：http://cert.uni-stuttgart.de/advisories/postgresql_pam_nss.php
*>


建议：

---

厂商补丁：

Joerg Wendland已经提供了最新版本以修复这个问题。您可以在产品主页上下载最新版本：

http://sourceforge.net/project/showfiles.php?group_id=24083

浏览次数：3474
严重程度：0（网友投票）