Sun Solaris PostgreSQL Privilege Escalation and Denial of Service

Secunia ID	SA37250
CVE-ID	CVE-2009-3229, CVE-2009-3230
Опубликовано	04 ноя 2009
Опасность	Как правило, присваивается уязвимостям типа Cross-Site Scripting и уязвимостям, позволяющим осуществлять повышение привилегий пользователя. Эта степень опасности также относится к уязвимостям, допускающим раскрытие конфиденциальных данных локальным пользователям.
Статус решения	Исправлена патчем от производителя
Источник атаки	Локальная сеть Атака с применением этой уязвимости требует, чтобы её инициатор находился в одной сети с уязвимой системой (не обязательно LAN). К этой категории относятся уязвимости в службах, которые не должны быть доступны из интернета, а только из локальной сети и, возможно, ограниченного круга внешних систем (например, DHCP, RPC, административные службы).
Последствия	DoS-атака Результатом использования этой уязвимости может стать чрезмерное потребление ресурсов системой, фатальный сбой приложения или всей системы. Повышение привилегий Уязвимость позволяет пользователям осуществлять определенные задачи с использованием привилегий других пользователей либо администраторов. Обычно сюда относятся ситуации, в которых локальный пользователь клиентской или серверной системы способен получить доступ к учетной записи администратора или суперпользователя и, следовательно, к полному управлению системой.
Описание	Более подробное описание уязвимости доступно на английской версии сайта.
Решение	Установить патчи. -- SPARC Platform -- Solaris 10 (6/06 or later) with PostgreSQL 8.1: Apply patch 123590-11 or later. Solaris 10 (8/07 or later) with PostgreSQL 8.2: Apply patch 136998-07 or later. Solaris 10 (10/08 or later) with PostgreSQL 8.3: Apply patch 138826-05 or later. OpenSolaris with PostgreSQL 8.2/8.3: Fixed in builds snv_125 and later. -- x86 Platform -- Solaris 10 (6/06 or later) with PostgreSQL 8.1: Apply patch 123591-11 or later. Solaris 10 (8/07 or later) with PostgreSQL 8.2: Apply patch 136999-07 or later. Solaris 10 (10/08 or later) with PostgreSQL 8.3: Apply patch 138827-05 or later. OpenSolaris with PostgreSQL 8.2/8.3: Fixed in builds snv_125 and later.