Cusboonaysiinta saxda ah ayaa loo soo saaray dhammaan laamaha la taageeray ee PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, kuwaas oo saxay 56 khalad oo la aqoonsaday saddexdii bilood ee la soo dhaafay. Waxyaabaha kale, noocyada cusubi waxay baabi'inayaan nuglaanshaha (CVE-2024-7348), oo lagu calaamadeeyay khatar (heerka khatarta 8.8 ee 10). Nuglaanta waxaa sababa xaalada jinsiyadeed ee pg_dump utility, kaas oo u ogolaanaya weeraryahan awood u leh inuu abuuro oo tirtiro walxaha joogtada ah ee DBMS si uu u fuliyo koodka SQL ee aan sharciga ahayn ee xuquuqda isticmaalaha kaas oo lagu maamulo pg_dump utility (sida caadiga ah pg_dump). waxaa lagu maamulaa xuquuqaha isticmaalaha si loo taageero DBMS).
Weerar guul leh, waxaa lagama maarmaan ah in la raadraaco xilliga la bilaabay utility pg_dump, kaas oo si fudud loo hirgeliyo iyada oo la adeegsanayo wax-is-weydaarsi furan. Weerarku wuxuu ku soo ururay inuu beddelo taxane leh muuqaal ama miis dibadda ah oo qeexaya koodka SQL ee la bilaabayo wakhtiga pg_dump la bilaabay, marka macluumaadka ku saabsan joogitaanka taxanaha hore loo helay, laakiin xogta weli lama soo saarin. . Si loo xakameeyo nuglaanta, goobta "restrict_nonsystem_relation_kind" ayaa lagu daray, kaas oo mamnuucaya siidaynta aragtiyaha aan nidaamka ahayn iyo gelitaanka miisaska dibadda ee pg_dump.
Source: opennet.ru
