Awọn imudojuiwọn atunṣe ti ni ipilẹṣẹ fun gbogbo awọn ẹka atilẹyin ti PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, eyiti o ṣe atunṣe awọn aṣiṣe 56 ti a damọ ni oṣu mẹta sẹhin. Lara awọn ohun miiran, awọn ẹya tuntun yọkuro ailagbara kan (CVE-2024-7348), ti samisi bi eewu (ipele ewu 8.8 ninu 10). Ailagbara naa jẹ idi nipasẹ ipo ere-ije kan ninu ohun elo pg_dump, eyiti o fun laaye ikọlu kan pẹlu agbara lati ṣẹda ati paarẹ awọn nkan ti o tẹpẹlẹ ninu DBMS lati ṣiṣẹ koodu SQL lainidii pẹlu awọn ẹtọ olumulo labẹ eyiti ohun elo pg_dump ti ṣiṣẹ (nigbagbogbo pg_dump). nṣiṣẹ pẹlu awọn ẹtọ superuser lati ṣe afẹyinti DBMS).
Fun ikọlu aṣeyọri, o jẹ dandan lati tọpa akoko nigbati a ṣe ifilọlẹ IwUlO pg_dump, eyiti o ni irọrun imuse nipasẹ ifọwọyi ti iṣowo ṣiṣi. Ikọlu naa ṣan silẹ lati rọpo ọkọọkan pẹlu wiwo tabi tabili ita ti o ṣalaye koodu SQL lati ṣe ifilọlẹ ni akoko ti a ṣe ifilọlẹ pg_dump, nigbati alaye nipa wiwa ti ọkọọkan ti gba tẹlẹ, ṣugbọn data ko tii jade. . Lati dènà ailagbara naa, eto “restrict_nonsystem_relation_kind” ti ṣafikun, eyiti o ṣe idiwọ ifihan ti awọn iwo ti kii ṣe eto ati iraye si awọn tabili ita ni pg_dump.
orisun: opennet.ru
