关键漏洞信息 漏洞类型: - 字符转换漏洞 (Character conversion vulnerability) - 影响版本: PostgreSQL 7.3 及以上版本 - 问题描述: 未特权用户可以调用未针对恶意参数值设计的安全函数,可能被篡改。 - 修复方法: 禁用对这些函数的公共 EXECUTE 访问。使用以下 SQL 命令修复数据库目录项。 - tsarch2 模块错误 (tsearch2 vulnerability) - 影响版本: PostgreSQL 7.4 及以上版本(仅影响安装了 tsearch2 模块的情况) - 问题描述: tsarch2 模块错误声明了几个函数返回“内联”类型,这会破坏“内联”参数的类型安全,允许构造 SQL 命令以调用其他接受 "internal" 参数的函数,可能导致后端崩溃。 - 修复方法: 修改函数声明以接受“内联”参数,并且不能直接从 SQL 命令调用。使用以下 SQL 命令修复。 发布时间: 2005-05-02 发布者: Tom Lane 其他: 修复需要数据库管理员手动在每个安装的数据库中执行,包括 template1 等模板数据库。