Pagkahuyang sa PostgreSQL nga nagtugot sa SQL code nga ipatuman uban ang mga katungod sa tiggamit nga nagpadagan sa pg_dump

Nahimo ang corrective updates para sa tanang gisuportahan nga branch sa PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, nga nagtul-id sa 56 ka mga sayop nga giila sa milabayng tulo ka bulan. Lakip sa ubang mga butang, ang mga bag-ong bersyon nagwagtang sa usa ka pagkahuyang (CVE-2024-7348), gimarkahan nga peligro (kakuyaw nga lebel 8.8 gikan sa 10). Ang pagkahuyang tungod sa usa ka kondisyon sa lumba sa pg_dump utility, nga nagtugot sa usa ka tig-atake nga adunay katakus sa paghimo ug pagtangtang sa nagpadayon nga mga butang sa DBMS aron ipatuman ang arbitraryo nga SQL code nga adunay mga katungod sa tiggamit diin ang pg_dump utility gipadagan (kasagaran pg_dump gipadagan uban ang mga katungod sa superuser aron i-back up ang DBMS).

Alang sa usa ka malampuson nga pag-atake, gikinahanglan ang pagsubay sa higayon nga ang pg_dump utility gilunsad, nga dali nga gipatuman pinaagi sa pagmaniobra sa usa ka bukas nga transaksyon. Ang pag-atake nagsugod sa pag-ilis sa usa ka han-ay sa usa ka talan-awon o sa gawas nga lamesa nga naghubit sa SQL code nga ilunsad sa panahon nga pg_dump gilunsad, kung ang impormasyon mahitungod sa presensya sa han-ay nadawat na, apan ang datos wala pa ma-output. . Aron mapugngan ang pagkahuyang, ang setting nga "restrict_nonsystem_relation_kind" gidugang, nga nagdili sa pagbutyag sa dili sistema nga pagtan-aw ug pag-access sa mga eksternal nga lamesa sa pg_dump.

Source: opennet.ru

Pagpalit kasaligan nga pag-host alang sa mga site nga adunay proteksyon sa DDoS, mga server sa VPS VDS 🔥 Pagpalit og kasaligang website hosting nga adunay proteksyon sa DDoS, VPS VDS servers | ProHoster