【IT168 资讯】

　　PostgreSQL是IBM资助的一个开源项目，最近由于索引问题爆出提权漏洞，作为Oracle旗下的Sun作为竞争对手，在第一时间推出了修补方式。

　　发布日期：2009-12-14

　　更新日期：2009-12-28

　　受影响系统：

　　PostgreSQL PostgreSQL 8.4.x

　　PostgreSQL PostgreSQL 8.3.x

　　PostgreSQL PostgreSQL 8.2.x

　　PostgreSQL PostgreSQL 8.1.x

　　PostgreSQL PostgreSQL 8.0.x

　　PostgreSQL PostgreSQL 7.4.x

　　不受影响系统：

　　PostgreSQL PostgreSQL 8.4.2

　　PostgreSQL PostgreSQL 8.3.9

　　PostgreSQL PostgreSQL 8.2.15

　　PostgreSQL PostgreSQL 8.1.19

　　PostgreSQL PostgreSQL 8.0.23

　　PostgreSQL PostgreSQL 7.4.27

　　描述：

　　BUGTRAQ  ID: 37333

　　CVE ID: CVE-2009-4136

　　PostgreSQL是一款高级对象－关系型数据库管理系统，支持扩展的SQL标准子集。

　　PostgreSQL在执行数据库超级用户的索引功能期间没有正确地管理session-local状态，这允许通过认证的远程攻击者通过带有特制索引功能的表格获得权限提升。

　　建议：无

　　厂商补丁：

　　PostgreSQL

　　----------

　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

　　http://www.postgresql.org/about/news.1170

　　Sun

　　---

　　Sun已经为此发布了一个安全公告（Sun-Alert-6909139）以及相应补丁:

　　Sun- Alert-6909139：Security Vulnerabilities in PostgreSQL Shipped With Solaris May Allow Escalation of Privileges or Man-in-the-Middle on SSL Connections

　　链接：http://sunsolve.sun.com/search/document.do?assetkey=1-66-274870-1