]> granicus.if.org Git - postgresql/commit
Fix insecure parsing of server command-line switches.
authorTom Lane <tgl@sss.pgh.pa.us>
Mon, 1 Apr 2013 18:00:59 +0000 (14:00 -0400)
committerTom Lane <tgl@sss.pgh.pa.us>
Mon, 1 Apr 2013 18:00:59 +0000 (14:00 -0400)
commita6e0cd7b76c04acc8c8f868a3bcd0f9ff13e16c8
tree84a143cd6da3239e537fb47419de9473db263787
parente5fdb8feadd4385671bab0e2c4c57008f3ba8dda
Fix insecure parsing of server command-line switches.

An oversight in commit e710b65c1c56ca7b91f662c63d37ff2e72862a94 allowed
database names beginning with "-" to be treated as though they were secure
command-line switches; and this switch processing occurs before client
authentication, so that even an unprivileged remote attacker could exploit
the bug, needing only connectivity to the postmaster's port.  Assorted
exploits for this are possible, some requiring a valid database login,
some not.  The worst known problem is that the "-r" switch can be invoked
to redirect the process's stderr output, so that subsequent error messages
will be appended to any file the server can write.  This can for example be
used to corrupt the server's configuration files, so that it will fail when
next restarted.  Complete destruction of database tables is also possible.

Fix by keeping the database name extracted from a startup packet fully
separate from command-line switches, as had already been done with the
user name field.

The Postgres project thanks Mitsumasa Kondo for discovering this bug,
Kyotaro Horiguchi for drafting the fix, and Noah Misch for recognizing
the full extent of the danger.

Security: CVE-2013-1899
src/backend/main/main.c
src/backend/postmaster/postmaster.c
src/backend/tcop/postgres.c
src/backend/utils/init/postinit.c
src/include/tcop/tcopprot.h