PostgreSQL 中允許使用工作程序權限執行程式碼的漏洞

已為 PostgreSQL 17.1、16.5、15.9、14.14、13.17 和 12.21 的所有受支援分支產生修正更新,其中修復了 35 個錯誤並消除了 3 個漏洞 - 12 個危險漏洞和 XNUMX 個無危險漏洞。它還宣布將停止對 PostgreSQL XNUMX 分支的支持,並且將不再產生更新。

一個危險漏洞 (CVE-2024-10979),嚴重程度為 8.8(滿分為 10),允許有權建立 PL/Perl 函數的本機 DBMS 使用者以 DBMS 所在使用者的權限執行程式碼。此漏洞是由於修改 PL/Perl 函數中的工作流程環境變數的能力引起的,包括指定可執行檔案路徑的 PATH 變數和 PostgreSQL 特定的環境變數。值得注意的是,要進行攻擊,存取 DBMS 就足夠了,不需要係統中的帳戶。建立或取代函數 plperl_set_env_var() 傳回 void AS $$ $ENV{'ENV_VAR'} = 'testval'; $$ 語言 plperl;選擇 plperl_set_env_var();

來源: opennet.ru

為具有 DDoS 保護、VPS VDS 服務器的站點購買可靠的主機 🔥 購買具備 DDoS 防護的可靠網站寄存服務,包括 VPS 和 VDS 伺服器 | ProHoster