已為 PostgreSQL 17.1、16.5、15.9、14.14、13.17 和 12.21 的所有受支援分支產生修正更新,其中修復了 35 個錯誤並消除了 3 個漏洞 - 12 個危險漏洞和 XNUMX 個無危險漏洞。它還宣布將停止對 PostgreSQL XNUMX 分支的支持,並且將不再產生更新。
一個危險漏洞 (CVE-2024-10979),嚴重程度為 8.8(滿分為 10),允許有權建立 PL/Perl 函數的本機 DBMS 使用者以 DBMS 所在使用者的權限執行程式碼。此漏洞是由於修改 PL/Perl 函數中的工作流程環境變數的能力引起的,包括指定可執行檔案路徑的 PATH 變數和 PostgreSQL 特定的環境變數。值得注意的是,要進行攻擊,存取 DBMS 就足夠了,不需要係統中的帳戶。建立或取代函數 plperl_set_env_var() 傳回 void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ 語言 plperl;選擇 plperl_set_env_var();
來源: opennet.ru
