PostgreSQL 允许用户修改其他用户查询行为的方式存在缺陷。
具有用户帐户的攻击者可以使用此缺陷以数据库中超级用户的权限执行代码。版本 9.3 到 10 受到影响。
具体漏洞描述可参考:
https://www.securityfocus.com/bid/103221
https://www.cvedetails.com/cve/CVE-2018-1058/
https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path
以下版本将受影响:
PostgreSQL PostgreSQL 9.6.7
PostgreSQL PostgreSQL 9.6.4
PostgreSQL PostgreSQL 9.6
PostgreSQL PostgreSQL 9.5.11
PostgreSQL PostgreSQL 9.5.10
PostgreSQL PostgreSQL 9.5.9
PostgreSQL PostgreSQL 9.5.8
PostgreSQL PostgreSQL 9.5.7
PostgreSQL PostgreSQL 9.5.6
PostgreSQL PostgreSQL 9.5.4
PostgreSQL PostgreSQL 9.5.1
PostgreSQL PostgreSQL 9.5
PostgreSQL PostgreSQL 9.4.16
PostgreSQL PostgreSQL 9.4.15
PostgreSQL PostgreSQL 9.4.14
PostgreSQL PostgreSQL 9.4.13
PostgreSQL PostgreSQL 9.4.12
PostgreSQL PostgreSQL 9.4.11
PostgreSQL PostgreSQL 9.4.9
PostgreSQL PostgreSQL 9.4.6
PostgreSQL PostgreSQL 9.4.5
PostgreSQL PostgreSQL 9.4.4
PostgreSQL PostgreSQL 9.4.3
PostgreSQL PostgreSQL 9.4.2
PostgreSQL PostgreSQL 9.4.1
PostgreSQL PostgreSQL 9.4
PostgreSQL PostgreSQL 9.3.21
PostgreSQL PostgreSQL 9.3.20
PostgreSQL PostgreSQL 9.3.19
PostgreSQL PostgreSQL 9.3.18
PostgreSQL PostgreSQL 9.3.17
PostgreSQL PostgreSQL 9.3.16
PostgreSQL PostgreSQL 9.3.14
PostgreSQL PostgreSQL 9.3.11
PostgreSQL PostgreSQL 9.3.10
PostgreSQL PostgreSQL 9.3.9
PostgreSQL PostgreSQL 9.3.8
PostgreSQL PostgreSQL 9.3.7
PostgreSQL PostgreSQL 9.3.6
PostgreSQL PostgreSQL 9.3.5
PostgreSQL PostgreSQL 9.3.4
PostgreSQL PostgreSQL 9.3.3
PostgreSQL PostgreSQL 9.3.2
PostgreSQL PostgreSQL 9.3
PostgreSQL PostgreSQL 9.6.6
PostgreSQL PostgreSQL 9.6.3
PostgreSQL PostgreSQL 9.6.2
PostgreSQL PostgreSQL 9.6.1
PostgreSQL PostgreSQL 9.5.2
PostgreSQL PostgreSQL 9.4.1-1
PostgreSQL PostgreSQL 9.3.1
PostgreSQL PostgreSQL 10.0