【漏洞预警】PostgreSQL代码执行漏洞CVE-2024-10979

科技   2024-11-15 17:29   北京  

漏洞描述:

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统,并因其高度兼容SQL标准和强大的扩展功能,被广泛使用作为Web应用和服务的后端数据库。

PostgreSQL发布安全公告,其中披露了一个PostgreSQL权限管理不当漏洞,由于对环境变量的不正确控制,导致允许非特权数据库用户可以更改敏感的进程环境变量,最终导致实现任意代码执行。

修复建议:
正式防护方案

厂商已发布补丁修复漏洞,建议尽快更新至安全版本,目前该漏洞已经修复,受影响用户可升级到PostgreSQL17.1、16.5、15.9、14.14、13.17、12.21或更高版本

下载链接:
https://www.postgresql.org/download/

影响范围:

PostgreSQL 17 < 17.1

PostgreSQL 16 < 16.5

PostgreSQL 15 < 15.9

PostgreSQL 14 < 14.14

PostgreSQL 13 < 13.17

PostgreSQL 12 < 12.21


安全版本:

postgresql >= 17.1

postgresql >= 16.5

postgresql >= 15.9

postgresql >= 14.14

postgresql >= 13.17

postgresql >= 12.21

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章