PostgreSQL 全球开发小组发布了一个重要更新,以解决这个流行的开源数据库系统所有支持版本中的四个安全漏洞。这包括 17.1、16.5、15.9、14.14、13.17 和 12.21 版本。强烈建议用户立即更新其安装,以降低潜在风险。
漏洞的严重程度不一,其中最严重的漏洞(CVE-2024-10979,CVSS 8.8)可在 PostgreSQL 服务器的上下文中执行任意代码。该漏洞存在于 PL/Perl 程序语言中,允许攻击者操纵环境变量,有可能导致系统完全崩溃。正如公告所述:”PostgreSQL PL/Perl中对环境变量的不正确控制允许无权限数据库用户更改敏感的进程环境变量(如PATH)。即使攻击者没有数据库服务器操作系统用户,这通常也足以实现任意代码执行。
此更新解决的其他漏洞包括
- CVE-2024-10976: 该漏洞涉及行安全策略,可能允许攻击者绕过预定的限制,访问或修改他们本不应该访问或修改的数据。“应用不正确的策略可能会允许用户完成禁止的读取和修改。
- CVE-2024-10977:该漏洞影响 libpq 客户端库,可能允许中间人攻击者注入错误信息,诱使用户泄露敏感信息。
- CVE-2024-10978: 此漏洞涉及 SET ROLE 和 SET SESSION AUTHORIZATION 命令中不正确的权限分配,可能允许攻击者未经授权访问数据。
本次更新还包括对超过 35 个非安全相关漏洞的修复。值得注意的是,这是 PostgreSQL 12 的最终版本,该版本现已达到生命周期终点。强烈建议仍在运行 PostgreSQL 12 的用户尽快迁移到受支持的版本。