Nganyari korektif wis digawe kanggo kabeh cabang PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 lan 12.21 sing didhukung, ing ngendi 35 kesalahan tetep lan 3 kerentanan diilangi - siji mbebayani lan loro ora mbebayani. Uga diumumake manawa dhukungan kanggo cabang PostgreSQL 12 bakal mandheg, nganyari sing ora bakal digawe maneh.
Kerentanan mbebayani (CVE-2024-10979), sing diwenehi tingkat keruwetan 8.8 saka 10, ngidini pangguna DBMS lokal kanthi hak nggawe fungsi PL/Perl kanggo nglakokake kode kanthi hak pangguna sing DBMS kasebut. mlaku. Kerentanan kasebut disebabake kemampuan kanggo ngowahi variabel lingkungan alur kerja ing fungsi PL/Perl, kalebu variabel PATH sing nemtokake path menyang file eksekusi lan variabel lingkungan khusus PostgreSQL. Dicathet yen kanggo nindakake serangan, akses menyang DBMS cukup lan ora mbutuhake akun ing sistem kasebut. Gawe UTAWA GANTI FUNGSI plperl_set_env_var() RETURNS void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ LANGUAGE plperl; PILIH plperl_set_env_var();
Source: opennet.ru
