首页 > 数据库 >漏洞修复系列-如何升级linux系统Upgrade to PostgreSQL JDBC Driver version 42.2.27, 42.3.8, 42.4.3, 42.5.1, or late

漏洞修复系列-如何升级linux系统Upgrade to PostgreSQL JDBC Driver version 42.2.27, 42.3.8, 42.4.3, 42.5.1, or late

时间:2023-09-23 09:34:27浏览次数:69  
标签:27 PostgreSQL jar Driver Upgrade JDBC 42.2 42.3

问题

遇到一个PostgreSQL JDBC Driver漏洞
PostgreSQL JDBC Driver that is 42.2.x prior to 42.2.27, 42.3.x prior to 42.3.8, 42.4.x prior to 42.4.3 or 42.5.x prior to 42.5.1. It is, therefore, affected by an information disclosure vulnerability.

原因

PostgreSQL JDBC Driver在版本小于42.2.26和版本大于42.3.0小于42.4.1之间存在一个SQL注入漏洞,漏洞原因是由于java.sql.ResultRow.refreshRow()方法的PGJDBC实现没有执行列名的转义,因此如果列名包含语句终止符的恶意列名,例如";",可能导致 SQL 注入。

解决方案

升级 PostgreSQL JDBC Driver 到更高版本,Upgrade to PostgreSQL JDBC Driver version 42.2.27, 42.3.8, 42.4.3, 42.5.1, or later

下载PostgreSQL JDBC Driver包

我们可以从 jdbc.postgresql.org 下载 JDBC for PostgreSQL。点击这里直达

我使用下载jar包的方式,小伙伴们也可以根据项目需求去看下面提示修改代码

点击下载

将包上传到服务器

我们可以使用一些工具进行上传,或者直接在服务器目录下执行命令去下载这个包

查找原有漏洞包所在路径

/var路径可根据需求进行更改

 sudo find /var -name "postgresql-*.jar"

执行命令后,我们可以看到,系统找到了两个jar包,一个是我们上传的,一个是原有有问题的包

[XXXXXXX_USER_01@XXXXXXXX ~]$ sudo find /var -name "postgresql-*.jar"
[sudo] password for XXXXXXXX_USER_01:
/var/lib/XXXXXXXXXXXXXXXXXXXXXXXXXXX/lib/jdbc/postgresql/postgresql-42.3.1.jar
/var/local/XXX/jdbc/postgresql-42.5.1.jar

解决漏洞

我们进入有问题包的路径,把这个包删掉,然后替换为我们的新包,就可以啦~

  • 今天就写到这里啦~
  • 小伙伴们,( ̄ω ̄( ̄ω ̄〃 ( ̄ω ̄〃)ゝ我们明天再见啦~~
  • 大家要天天开心哦

欢迎大家指出文章需要改正之处~
学无止境,合作共赢

在这里插入图片描述

欢迎路过的小哥哥小姐姐们提出更好的意见哇~~

标签:27,PostgreSQL,jar,Driver,Upgrade,JDBC,42.2,42.3
From: https://www.cnblogs.com/sugartang/p/17719639.html

相关文章

  • 英语0827
    1.succeedindoingsth在某方面成功2.police是集合名词,表示复数概念,还有class,family等3.enjoyoneself/haveagoodtime/havefundoingsth做某事情开心4.taketheplaceofsb代替某人的位置5.though前句用这个,后句就用yet,但是不能用but6.getdowntodoingsth认......
  • currently, chromedriver 114.0.5735.90 is recommended for chrome 114.*, so it is
    报错原因是驱动和浏览器不匹配解决办法1.下载低版本的谷歌浏览器  本次使用的是114  下载地址:https://downzen.com/en/windows/google-chrome/download/11405735199/  2.下载谷歌浏览器的插件https://registry.npmmirror.com/binary.html?path=chromedriver/114.......
  • ISO2000及27001评审报告
    为验证公司体系文件的适宜性、充分性和有效性,评价和寻求信息安全和服务管理体系改进的机会和变更的需要(包括管理方针和管理目标),根据《管理手册》和XX年管理评审计划的要求,公司在20XX年X月X日下午13点-15点在公司会议室召开20XX年管理评审会议。本次会议由管理者代表主持,公司管理委......
  • 随想录Day1|704. 二分查找、27. 移除元素
    随想录Day1|704.二分查找、27.移除元素 704.二分查找LeetCode题目文章讲解视频讲解给定n个元素升序的整形数组nums和一个目标值target,写一个函数搜索nums中的target,如果存在目标值则返回下标,否则返回-1。其中nums中的元素不重复,n在[1,10000]之间,nums的每个元素都在[-......
  • 算法学习 |Day 1 数组基础 704. 二分查找,27. 移除元素
    704.二分查找思路:二分查找的前置条件是数组有序且无重复元素,每次通过改变边界值来缩小查找范围。自己写的:可以看到对边界的判断存在问题,基本思路是左闭右闭,但是while循环的判断是按照左闭右开来写的。对于数组中仅包含一个元素且该元素是目标函数的情况会出错。重新调试后......
  • abc278题面
    A问题陈述给你一个长度为\(N\)的序列\(A=(A_1,A_2,\dots,A_N)\)。你正好执行了下面的操作\(K\)次:删除\(A\)的初始元素,并在\(A\)的尾部追加一个\(0\)。操作后打印\(A\)的所有元素。限制因素\(1\leqN\leq100\)\(1\leqK\leq100\)\(1\leqA_i\leq1......
  • dns缓存中毒43.227.199.x
    什么是DNS缓存中毒DNS缓存中毒是一种网络攻击,它使您的计算机误以为它会到达正确的地址,但事实并非如此。攻击者使用DNS缓存中毒来劫持互联网流量并窃取用户凭据或个人数据。DNS缓存中毒攻击也称为DNS欺骗,它试图诱骗用户将其私人数据输入不安全的网站。什么是DNS缓存在讨论攻击之......
  • 【POJ 3278】Catch That Cow 题解(广度优先搜索)
    农夫约翰已被告知一头逃亡奶牛的位置,并想立即抓住她。他从一条数字线上的N点(0≤N≤100000)开始,奶牛在同一条数字线上的K点(0≥K≤100000)。农夫约翰有两种交通方式:步行和坐车。*步行:FJ可以在一分钟内从任何点X移动到点X-1或X+1*坐车:FJ可以在一分钟内从任何X点移动到2×X点。如果奶......
  • 27_linux 网络编程
    linux网络编程HTTP协议对应于应用层,Socket则是对ICP/IP协议的封装和应用Socket的出现只是使得程序员更方便地使用ICP/IP协议栈而已,是对ICP/IP协议的抽象,从而形成了我们知道的一些最基本的函数接口,比如create、listen、connect、accept、send、read和write等。......
  • 【POJ 3278】Catch That Cow 题解(深度优先搜索)
    农夫约翰已被告知一头逃亡奶牛的位置,并想立即抓住她。他从一条数字线上的N点(0≤N≤100000)开始,奶牛在同一条数字线上的K点(0≥K≤100000)。农夫约翰有两种交通方式:步行和坐车。*步行:FJ可以在一分钟内从任何点X移动到点X-1或X+1*坐车:FJ可以在一分钟内从任何X点移动到2×X点。如果奶......