Masasisho sahihi yametolewa kwa matoleo yote ya PostgreSQL yanayotumika: 16.4, 15.8, 14.13, 13.16, na 12.20. Masasisho haya hurekebisha hitilafu 56 zilizogunduliwa katika muda wa miezi mitatu iliyopita. Miongoni mwa marekebisho mengine, matoleo mapya yanashughulikia athari (CVE-2024-7348), iliyokadiriwa kuwa kali (kiwango cha ukali 8.8 kati ya 10). Athari hii inasababishwa na hali ya mbio katika matumizi ya pg_dump, ambayo huruhusu mshambulizi aliye na uwezo wa kuunda na kufuta vipengee vinavyoendelea katika DBMS kutekeleza msimbo wa SQL kiholela na haki za mtumiaji ambazo pg_dump inaendeshwa (pg_dump kwa kawaida huendeshwa na haki za mtumiaji mkuu kwa hifadhi rudufu za DB).
Shambulio lililofaulu linahitaji kufuatilia wakati pg_dump shirika linapozinduliwa, ambalo linakamilishwa kwa urahisi kwa kuendesha shughuli iliyo wazi. Shambulio hilo linajumuisha kubadilisha mlolongo na mwonekano au jedwali la nje ambalo huamua msimbo wa SQL utakaotekelezwa wakati pg_dump inapozinduliwa, wakati taarifa kuhusu kuwepo kwa mfuatano huo tayari imepatikana, lakini data bado haijatupwa. Ili kupunguza athari hii, mpangilio wa "restrit_nonsystem_relation_kind" umeongezwa, unaozuia ufichuaji wa mionekano isiyo ya mfumo na ufikiaji wa majedwali ya nje katika pg_dump.
Chanzo: opennet.ru
