发布日期：2006-02-15
更新日期：2006-02-15

受影响系统：

PostgreSQL PostgreSQL 8.1.2
PostgreSQL PostgreSQL 8.1.1
PostgreSQL PostgreSQL 8.1

不受影响系统：

PostgreSQL PostgreSQL 8.1.3

描述：

---

BUGTRAQ  ID: 16649
CVE(CAN) ID: CVE-2006-0553

PostgreSQL是一款高级对象-关系型数据库管理系统，支持扩展的SQL标准子集。

PostgreSQL在处理特定的SET ROLE处理时存在漏洞，远程攻击者可能利用此漏洞控制服务器的操作系统。

远程攻击者可以向PostgreSQL发送有特制参数的SET ROLE命令导致任何登录到数据库的用户都可以获得其他数据库用户的权限，包括超级用户权限。这意味着任何用户都可以访问机器的文件系统并有可能控制服务器的操作系统。

<*来源：Akio Ishida
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=114002120429634&w=2
*>

建议：

---

厂商补丁：

PostgreSQL
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* PostgreSQL postgresql-8.1.3.tar.bz2
http://wwwmaster.postgresql.org/download/mirrors-ftp?file=source%2Fv8.1.3%2Fpostgresql-8.1.3.tar.bz2

浏览次数：3156
严重程度：0（网友投票）