美国财政部遭SQL注入攻击:一个长达十年的零日漏洞
2025-03-17
美国财政部系统遭黑客入侵,攻击方式竟是利用PostgreSQL数据库中一个潜伏了近十年的SQL注入漏洞。该漏洞并非简单的SQL注入,而是利用了PostgreSQL内部字符串转义方法的输出,并将其直接输入psql命令行工具。攻击者巧妙地使用了两个字节`c0 27`,绕过了Beyond Trust的PAM工具以及pg_escape_string函数的防护,最终获得psql的完全控制权,并执行任意系统命令。此事件凸显了即使在经过严格审查的开源项目中,长期存在的细微漏洞也可能造成严重的安全风险。
科技
PostgreSQL漏洞