Nahimo ang corrective updates para sa tanang gisuportahan nga sanga sa PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 ug 12.21, diin 35 ka mga sayop ang giayo ug 3 ka vulnerabilities ang giwagtang - usa nga delikado ug duha nga dili delikado. Gipahibalo usab nga ang suporta alang sa sanga sa PostgreSQL 12 ihunong, ang mga update nga dili na mabuhat.
Ang usa ka delikado nga kahuyang (CVE-2024-10979), nga gi-assign sa usa ka lebel sa kagrabe sa 8.8 gikan sa 10, nagtugot sa usa ka lokal nga tiggamit sa DBMS nga adunay mga katungod sa paghimo sa mga function sa PL/Perl aron ipatuman ang code nga adunay mga katungod sa tiggamit diin ang DBMS anaa. nagdagan. Ang kahuyang kay tungod sa abilidad sa pag-usab sa workflow environment variables sa PL/Perl functions, lakip na ang PATH variable nga nagtino sa mga dalan ngadto sa executable files ug PostgreSQL-specific environment variables. Namatikdan nga aron mahimo ang usa ka pag-atake, ang pag-access sa DBMS igo na ug wala magkinahanglan usa ka account sa sistema. PAGHIMO O PAG-USLI ANG FUNCTION plperl_set_env_var() MABALIK nga walay kapuslanan AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ LANGUAGE plperl; PILI ang plperl_set_env_var();
Source: opennet.ru
