Perl DBD::Pg模块多个格式串漏洞

漏洞起因
输入验证错误
危险等级

影响系统
DBD::Pg 2.x (module for Perl)

不受影响系统

危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码或使应用程序崩溃。

攻击所需条件
攻击者必须访问链接perl-DBD-Pg模块的应用程序。

漏洞信息
perl-DBD-Pg允许Perl程序连接PostgreSQL数据库服务器。
用于Perl的DBD::Pg模块存在安全漏洞,允许恶意用户使使用此模块的应用程序崩溃。
-当处理数据库通知时”pg_warn()”函数(dbdimp.c)存在格式串错误。
-当准备DBD语句时”dbd_st_prepare()”函数(dbdimp.c)存在格式串错误。
成功利用漏洞可以以应用程序上下文执行任意代码,但需要连接恶意服务器。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://rt.cpan.org/Public/Bug/Display.html?id=75642

漏洞提供者
Dominic Hargreaves

评论关闭。