Pembaruan korektif parantos dihasilkeun pikeun sadaya cabang PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 sareng 12.21 anu dirojong, dimana 35 kasalahan dibereskeun sareng 3 kerentanan dileungitkeun - hiji bahaya sareng dua henteu bahaya. Diumumkeun ogé yén dukungan pikeun cabang PostgreSQL 12 bakal dileungitkeun, apdet anu moal aya deui.
Kerentanan bahaya (CVE-2024-10979), anu ditugaskeun tingkat severity 8.8 ti 10, ngamungkinkeun pamaké DBMS lokal anu boga hak pikeun nyieun fungsi PL/Perl pikeun ngaéksekusi kode jeung hak pamaké nu DBMS na. lumpat. Kerentanan disababkeun ku kamampuan ngarobih variabel lingkungan workflow dina fungsi PL/Perl, kalebet variabel PATH anu netepkeun jalur ka file anu tiasa dieksekusi sareng variabel lingkungan khusus PostgreSQL. Perhatikeun yén pikeun ngalakukeun serangan, aksés ka DBMS cukup sareng henteu ngabutuhkeun akun dina sistem. Jieun atawa ngaganti fungsi plperl_set_env_var() Ngabalikeun batal AS $$ $ENV {'ENV_VAR'} = 'testval'; $$ BASA plperl; PILIH plperl_set_env_var();
sumber: opennet.ru
