Der er genereret korrigerende opdateringer for alle understøttede grene af PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 og 12.21, hvor 35 fejl er rettet og 3 sårbarheder er elimineret - en farlig og to ikke-farlig. Det blev også annonceret, at support til PostgreSQL 12-grenen vil blive afbrudt, og opdateringer vil ikke længere blive genereret.
En farlig sårbarhed (CVE-2024-10979), som er tildelt et alvorlighedsniveau på 8.8 ud af 10, tillader en lokal DBMS-bruger med rettigheder til at oprette PL/Perl-funktioner til at udføre kode med rettighederne for den bruger, som DBMS'et er under. løb. Sårbarheden er forårsaget af evnen til at ændre workflow-miljøvariabler i PL/Perl-funktioner, herunder PATH-variablen, der specificerer stier til eksekverbare filer og PostgreSQL-specifikke miljøvariabler. Det bemærkes, at for at udføre et angreb er adgang til DBMS tilstrækkelig og kræver ikke en konto i systemet. OPRET ELLER ERSTAT FUNKTION plperl_set_env_var() RETURERER ugyldig SOM $$ $ENV{'ENV_VAR'} = 'testval'; $$ SPROG plperl; VÆLG plperl_set_env_var();
Kilde: opennet.ru
