发布日期：2006-02-14
更新日期：2006-02-15

受影响系统：

PostgreSQL PostgreSQL 8.0.0-8.0.6
PostgreSQL PostgreSQL 7.4.0-7.4.11
PostgreSQL PostgreSQL 7.3.0-7.3.13

不受影响系统：

PostgreSQL PostgreSQL 8.0.7
PostgreSQL PostgreSQL 7.4.12
PostgreSQL PostgreSQL 7.3.14

描述：

---

BUGTRAQ  ID: 16650
CVE(CAN) ID: CVE-2006-0678

PostgreSQL是一款高级对象-关系型数据库管理系统，支持扩展的SQL标准子集。

PostgreSQL处理用户提交的特定命令时存在问题，远程攻击者可能利用此漏洞导致服务器产生拒绝服务。

如果启用了Assert的话，远程攻击者就可以向PostgreSQL发送有特制参数的SET SESSION AUTHORIZATIONE命令导致服务器拒绝服务。但是，这个漏洞无法导致权限提升，因为用户必须拥有超级用户权限才能使用SET SESSION AUTHORIZATION命令。

<*来源：Akio Ishida
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=114002120429634&w=2
*>

建议：

---

厂商补丁：

PostgreSQL
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* PostgreSQL postgresql-7.3.14.tar.bz2
http://wwwmaster.postgresql.org/download/mirrors-ftp?file=source%2Fv7.3.14%2Fpostgresql-7.3.14.tar.bz2

* PostgreSQL postgresql-7.4.12.tar.bz2
http://wwwmaster.postgresql.org/download/mirrors-ftp?file=source%2Fv7.4.12%2Fpostgresql-7.4.12.tar.bz2

* PostgreSQL postgresql-8.0.7.tar.bz2
http://wwwmaster.postgresql.org/download/mirrors-ftp?file=source%2Fv8.0.7%2Fpostgresql-8.0.7.tar.bz2

* PostgreSQL postgresql-8.1.3.tar.bz2
http://wwwmaster.postgresql.org/download/mirrors-ftp?file=source%2Fv8.1.3%2Fpostgresql-8.1.3.tar.bz2

浏览次数：3045
严重程度：0（网友投票）