Korrekciós frissítések készültek a PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 és 12.21 összes támogatott ágához, amelyekben 35 hibát javítottak, és 3 sebezhetőséget megszüntettek – egy veszélyes és kettő nem veszélyes. Azt is bejelentették, hogy megszűnik a PostgreSQL 12 ág támogatása, amelyhez a továbbiakban nem generálnak frissítéseket.
Egy veszélyes biztonsági rés (CVE-2024-10979), amelyhez 8.8-ből 10-as súlyossági szint van hozzárendelve, lehetővé teszi a PL/Perl függvények létrehozására jogosult helyi DBMS-felhasználók számára, hogy kódot hajtsanak végre a DBMS-hez tartozó felhasználó jogaival. futás. A sérülékenységet a PL/Perl függvényekben a munkafolyamat környezeti változóinak módosítása okozza, beleértve a PATH változót, amely a végrehajtható fájlok elérési útját adja meg, valamint a PostgreSQL-specifikus környezeti változókat. Megjegyzendő, hogy a támadás végrehajtásához elegendő a DBMS-hez való hozzáférés, és nincs szükség fiókra a rendszerben. FUNKCIÓ LÉTREHOZÁSA VAGY CSERÉJE plperl_set_env_var() RETURNS void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ NYELV plperl; SELECT plperl_set_env_var();
Forrás: opennet.ru
