PostgreSQL 8.x/9.x 存在多个安全漏洞

CVE-2012-0866
CVE-2012-0867
CVE-2012-0868

PostgreSQL是一款对象关系型数据库管理系统，支持扩展的SQL标准子集

PostgreSQL存在多个安全漏洞，允许恶意用户绕过部分安全限制，进行伪造攻击或操作某些数据
-在触发函数上没有对CREATE TRIGGER进行正确的权限检查，可利用此漏洞标记触发函数为SECURITY DEFINER，可授权EXECUTE权限
-在校验SSL证书的公用名时不正确把名称截断为32个字符，可导致不正确校验伪造证书
-当向评注注入对象名时pg_dump存在输入过滤错误，可被利用通过换行字符转义评注，向DUMP脚本注入SQL命令
0
PostgreSQL 8.x
PostgreSQL 9.x
厂商解决方案

PostgreSQL

PostgreSQL 9.1.3, 9.0.7, 8.4.11或8.3.18已经修复此漏洞，建议用户下载使用：
http://www.postgresql.org/