Kõigile PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 ja 12.21 toetatud harudele on genereeritud parandavad uuendused, milles parandatakse 35 viga ja kõrvaldatakse 3 haavatavust – üks ohtlik ja kaks mitteohtlikku. Ühtlasi teatati, et lõpetatakse PostgreSQL 12 haru tugi, mille uuendusi enam ei genereerita.
Ohtlik haavatavus (CVE-2024-10979), mille raskusaste on 8.8 10-st, võimaldab kohalikul DBMS-i kasutajal, kellel on õigus luua PL/Perli funktsioone, käivitada koodi selle kasutaja õigustega, mille alusel DBMS on jooksmine. Haavatavuse põhjuseks on võimalus muuta PL/Perli funktsioonide töövoo keskkonnamuutujaid, sealhulgas muutujat PATH, mis määrab täitmisfailide teed ja PostgreSQL-i spetsiifilisi keskkonnamuutujaid. Tuleb märkida, et rünnaku läbiviimiseks piisab juurdepääsust DBMS-ile ja see ei nõua süsteemis kontot. LOO VÕI ASENDA FUNKTSIOON plperl_set_env_var() TAGASI void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ KEEL plperl; SELECT plperl_set_env_var();
Allikas: opennet.ru
