Eguneratze zuzentzaileak sortu dira PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 eta 12.21 adar guztietarako, eta horietan 35 akats konpondu dira eta 3 ahultasun ezabatzen dira - bat arriskutsua eta bi ez-arriskutsua. Era berean, PostgreSQL 12 adarraren euskarria eten egingo dela iragarri zen, eta horren eguneraketak ez dira gehiago sortuko.
Ahultasun arriskutsu batek (CVE-2024-10979), 8.8tik 10eko larritasun-maila esleitzen zaiona, DBMSa dagoen erabiltzailearen eskubideekin PL/Perl funtzioak sortzeko eskubideak dituen tokiko DBMS erabiltzaileari aukera ematen dio kodea exekutatzeko. korrika. Zaurgarritasuna PL/Perl funtzioetan lan-fluxuaren ingurune-aldagaiak aldatzeko gaitasunak eragiten du, fitxategi exekutagarrietarako bideak eta PostgreSQL-ren berariazko ingurune-aldagaiak zehazten dituen PATH aldagaia barne. Kontuan izan da eraso bat egiteko, DBMSrako sarbidea nahikoa dela eta ez duela sisteman konturik behar. SORTU EDO ORDEZTU FUNTZIOA plperl_set_env_var() itzultzen du void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ HIZKUNTZA plperl; HAUTATU plperl_set_env_var();
Iturria: opennet.ru
