HGVE-2025-E003

张开发
2026/4/16 21:38:19 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

HGVE-2025-E003
文章目录环境BUG/漏洞编码症状触发条件解决方案环境系统平台N/A版本4.5,4.5.1,4.5.2,4.5.6,4.5.7,4.5.8,4.5.9,4.5.10,9.0.1BUG/漏洞编码症状PostgreSQL 在 GB18030 编码验证中存在缓冲区过度读取漏洞允许数据库输入提供者在某些平台上通过触发 1 字节的越界读取导致进程终止从而实现临时拒绝服务。该漏洞影响数据库服务器及 libpq。在 PostgreSQL 17.5 之前、16.9 之前、15.13 之前、14.18 之前和 13.21 之前的版本中均存在此问题。触发条件GB18030 编码的部分多字节字符需读取后续字节以确定长度。当输入数据在内存分配末尾恰好为不完整字符如 0xFE时原编码验证函数 pg_encoding_mblen 未严格检查剩余字节长度直接尝试读取下一个字节导致越界访问。攻击者可构造特定输入触发此漏洞引发 SIGSEGV 信号使进程崩溃。解决方案修改代码逻辑避免越界访问。安装漏洞补丁包。下载地址链接: https://pan.baidu.com/s/11ieY-L2ZpSvdsCSK6R52nQ?pwdytsx 提取码: ytsx

更多文章