Korektaj ĝisdatigoj estis generitaj por ĉiuj subtenataj branĉoj de PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 kaj 12.21, en kiuj 35 eraroj estas fiksitaj kaj 3 vundeblecoj estas forigitaj - unu danĝera kaj du ne-danĝeraj. Estis ankaŭ anoncite, ke subteno por la branĉo PostgreSQL 12 estos ĉesigita, por kiuj ĝisdatigoj ne plu estos generitaj.
Danĝera vundebleco (CVE-2024-10979), al kiu estas asignita severecnivelo de 8.8 el 10, permesas al loka DBMS-uzanto kun rajtoj krei PL/Perl-funkciojn por ekzekuti kodon kun la rajtoj de la uzanto sub kiu la DBMS estas. kurante. La vundebleco estas kaŭzita de la kapablo modifi laborfluajn mediovariablojn en PL/Perl-funkcioj, inkluzive de la PATH-variablo, kiu difinas la vojon al ruleblaj dosieroj kaj PostgreSQL-specifaj mediovariabloj. Oni rimarkas, ke por fari atakon, aliro al la DBMS sufiĉas kaj ne postulas konton en la sistemo. KREU AŬ ANSTAŬIGI FUNKCIOn plperl_set_env_var () RETURNS void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ LINGVO plperl; SELECT plperl_set_env_var();
fonto: opennet.ru
