关键漏洞信息 漏洞名称: postgresql-jdbc: SQL injection due to improper escaping of JDBC statement parameters 报告人: Steffen Dettmer 漏洞描述: - 类型: SQL注入漏洞 - 原因: postgresql-jdbc, PostgreSQL数据库的JDBC驱动程序,在处理某些JDBC语句参数的转义上存在缺陷。 - 影响: 远程攻击者可以提供一个带有特殊构造参数的JDBC语句,当被postgresql-jdbc驱动处理时,可能导致SQL注入。 漏洞范围: - 当JDBC驱动版本比使用的PostgreSQL服务器版本老时,不正确的转义被认为是安全漏洞。 - 处理JDBC语句/查询参数被认为是PostgreSQL数据库JDBC驱动的一般功能,并不保证与PostgreSQL数据库服务器的版本兼容。 漏洞状态: - Red Hat安全响应团队同意上游评估结果,决定不给此问题分配CVE标识符。 参考链接: - SECLISTS - OpenSUSE 安全邮件列表 - Bugzilla Novell - Red Hat Bugzilla