Khi máy chủ cơ sở dữ liệu hoặc thư viện máy khách LibPQ khởi tạo SSL,libeay32.dllcố gắng đọc cấu hình từ một thư mục được mã hóa cứng. Thông thường, thư mục không tồn tại, nhưng bất kỳ người dùng cục bộ nào cũng có thể tạo nó và bơm cấu hình. Cấu hình này có thể hướng OpenSSL trực tiếp tải và thực thi mã tùy ý khi người dùng chạy máy chủ hoặc máy khách PostgreSQL.
Hầu hết các công cụ và thư viện máy khách PostgreSQL sử dụnglibpqvà người ta có thể gặp phải lỗ kèo bóng đá cúp c2 này bằng cách sử dụng bất kỳ lỗ kèo bóng đá cúp c2 nào trong số họ. Lỗ kèo bóng đá cúp c2 này giống nhưCVE-2019-5443, nhưng nó có nguồn gốc độc lập. Người ta có thể làm việc xung quanh lỗ kèo bóng đá cúp c2 bằng cách đặt biến môi trường openSSL_conf thành "nul: /openssl.cnf" hoặc bất kỳ tên nào khác không thể tồn tại dưới dạng tệp.
Dự án PostgreSQL cảm ơn Daniel Gustafsson của nhóm kèo bóng đá cúp c2 Curl đã báo cáo vấn đề này.
| Phiên kèo bóng đá cúp c2 bị ảnh hưởng | Đã sửa trong | sửa chữa được xuất kèo bóng đá cúp c2 |
|---|---|---|
| 11 | 11.5 | Postgresql: Postgresql |
| 10 | 10.10 | Postgresql: Postgresql |
| 9.6 | 9.6.15 | Postgresql: Postgresql |
| 9.5 | 9.5.19 | Postgresql: Postgresql |
| 9.4 | 9.4.24 | Postgresql: Postgresql |
Để biết thêm thông tin vềPhiên kèo bóng đá cúp c2 PostgreSQL, Vui lòng truy cậpTrang phiên kèo bóng đá cúp c2.
| Điểm tổng thể | 7.8 |
|---|---|
| Thành phần | Bao bì |
| Vector | AV: L/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H |
Nếu bạn muốn báo cáo lỗ hổng kèo bóng đá cúp c2 mới trong PostgreSQL, xin vui lòng Gửi email đếnsecurity@postgresql.org.
Để báo cáo các lỗi không kèo bóng đá cúp c2, vui lòng xemkèo bóng đá cúp c2 lỗitrang.