PgSQL 9.4.1在2015年2月5日发布，主打的是安全方面的更新，修补了如下的安全漏洞： * CVE-2015-0241 Buffer overruns in “to_char” functions. * CVE-2015-0242 Buffer overrun in replacement printf family of functions. * CVE-2015-0243 Memory errors in functions in the pgcrypto extension. * CVE-2015-0244 An error in extended protocol message reading. * CVE-2014-8161 Constraint violation errors can cause display of values in columns which the user would not normally have rights to see. 也就是说，在9.4 GA版本中，是存在这些安全漏洞的，9.4.1把它们修复了。好消息是，阿里云的RDS PG将直接采用更安全的9.4.1版本。下面我们不妨分析一下这些漏洞的具体情况，看看如果使用9.4 GA，有哪些安全隐患。 ## CVE-2015-0244 比较起来，CVE-2015-0244这个漏洞较严重些，我们做重点分析。从修复这个问题的代码改动（[patch](http://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=2b3a8b20c2da9f39ffecae25ab7c66974fbc0d3b)）可以看出，问题主要出在前后端通信过程中。最简单的触发方式，是利用Query Cancellation机制。这里有必要先介绍一下前后端的通信过程和Query Cancellation的实现逻辑。 客户端连接PG时，后端建立一个backend（即后台进程）为其服务，服务逻辑主要在PostgresMain()中。PostgresMain()有一个无条件for循环，不断从客户端读取新的SQL命令，并进行处理。PG每次从客户端读取8K大小的消息；如果一个SQL比较大，大小超过8K，则需要多次读取。 读取一次客户端消息的调用序列如下： ~~~ PostgresMain -> ReadCommand -> SocketBackend -> pq_getmessage | V recv <- secure_read <- pq_recvbuf <- pq_getbytes ~~~ 其中pq_recvbuf调用secure_read每次读取8K的数据。如果一个SQL很大，比如 ~~~ INSERT INTO tablename VALUES (1), (2),.....,(10000000) ~~~ 则需要反复调用secure_read。此时如果用户端发起了一个Query Cancellation，比如在psql控制台按下了Ctl+c，则PG后台进程最终会收到一个SIGINT信号，触发它中断当前的处理，跳转到信号处理函数StatementCancelHandler。其后的函数调用过程如下： ~~~ StatementCancelHandler -> ProcessInterrupts -> elog( ERROR，......) | V siglongjmp <- PG_RE_THROW <- errfinish ~~~ 可见，最后PG利用siglongjmp，实现了调转。跳转到哪里了呢？我们知道，siglongjmp一般和sigsetjmp成对使用；查看PostgresMain函数，可以发现下面这一行： ~~~ if (sigsetjmp(local_sigjmp_buf, 1) != 0) ~~~ 实际上，siglongjmp就是跳转到这一行，继续执行。接下来执行的逻辑正好是对事务执行回滚和对session（即当前连接）环境做初始化，接着就又开始调用ReadCommand，继续从客户端读取消息了。 仔细分析上述过程，可以发现一个问题：如果PG在读取一个客户端消息的中间，收到了一个Query Cancellation信号，则PG会回滚事务，并将状态改为等待读取新消息，然后再次调用ReadCommand读消息。但是，此时还是从原来的网络连接中，调用recv读取，所以读取到消息，有可能是上一个消息的一部分。就是说，PG可能把上一个消息的一部分，当做一个新的消息的开始来处理！攻击者可以利用这一点，将一个完整的消息，注入到原SQL中，绕过前端的检查，执行原来不被允许的SQL。例如，如果一个网站前端有一个这样的SQL语句： ~~~ INSERT INTO table VALUES ( ? ) ~~~ 问号部分，由用户输入并由前端代码填充。正常情况下，如果用户的注入一个`'DELETE FROM table'`，企图删除整个表，是不符合语法的，PG会返回错误。但利用这个漏洞，用户可以在PG接收这个SQL的时候，撤销这次SQL操作，如果用户发起一个Query Cancellation，最终向后台进程发SIGINT信号，则可能会导致后台进程跳转到新消息读取阶段，继续读取消息。此时如果恰好读取到DELETE语句的开头，那么就可以把注入的SQL作为一个新的完整SQL成功执行。 此漏洞直接的修复方法是，在读取一个消息过程中，设置一个状态标识，表明目前正在读取消息的阶段。当发生Query Cancellation中断或者其他会造成中断处理的错误，后台进程跳转到中断处理代码，回滚当前事务后，检测状态标识。如果状态标识被设置，说明是从消息读取阶段被中断的，则直接使用elog( FATAL,…)退出后台进程，并断开连接， ## CVE-2015-0241 这个漏洞涉及两个小问题： 一个是to_char代码里面在处理localized month（在具体某个locale下的月份名，例如，”January”在中文locale里面是”一月”）和 localized week day（具体某个locale下得星期的名称，例如，”Monday”在中文里面是”星期一”）时，使用的数组过小，在某些locale下面可能指针越界。 另一个小问题是，to_char在将输入的float类型转换为字符串时，如果指定格式的字符串过长，可能造成存放结果的数组不够大而内存越界。 为修复此漏洞，在下面的文件里面增大了处理数组长度，并加入了对长度的判断。 ~~~ src/backend/utils/adt/formatting.c ~~~ ## CVE-2015-0242 这个漏洞是PG自带的snprintf函数，在较大的精度要求时可能导致存放结果的数组过小而造成内存越界。这个问题只影响没有snprintf支持的平台。 ## CVE-2015-0243 只影响插件pgcrypto。主要由于此插件所使用的imath的版本有了变化，造成原来代码里面假设的所调用函数的返回值长度有变化，可能造成数组溢出。 ## CVE-2014-8161 由于疏忽，`BuildIndexValueDescription`, `ExecBuildSlotValueDescription`以及 `ri_ReportViolation`等函数在打印出错信息时，会把用户无权知道的信息打印出来。例如，在插入数据到一个有非空约束的表中时，用户会看到如下的出错信息： ~~~ INSERT INTO t1 (c1) VALUES (5); ERROR: null value in column "c2" violates not-null constraint DETAIL: Failing row contains (c1) = (5). ~~~ 用户实际上没有查看c2这个字段的权限，所以不应该让其感知到c2字段的存在。而这个错误信息暴露了这一点。 再如，假设用户没有查看c1字段值的权限，只有查看c3字段的权限并且c3上有值域约束，则在对c3赋值时，如果使用一个不符合值域约束的值，会提示错误，并且错误信息会把c1的值打印出来： ~~~ UPDATE t1 SET c3 = 10; ERROR: new row for relation "t1" violates check constraint "t1_c3_check" DETAIL: Failing row contains (c1, c3) = (1, 10). ~~~ 这样用户很容易通过执行类似`update set c3 = "any value"` 的语句，把c1的值打出来，造成信息泄露。