关于PostgreSQL代码执行漏洞(CVE-2024-10979)的预警提示

发布者:jsut发布时间:2024-11-25浏览次数:72

一、漏洞详情

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持WindowsLinuxUNIXMac OS XBSD等多种操作系统。

近日,监测到PostgreSQL中修复了一个代码执行漏洞(CVE-2024-10979)。PostgreSQL多个受影响版本中,当PL/Perl扩展被安装并启用时,由于PL/Perl扩展未能正确控制环境变量,导致非特权数据库用户可以修改敏感的进程环境变量(如PATH),并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限,或者执行数据窃取、数据篡改或破坏等恶意操作。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻

二、影响范围

PostgreSQL 17 < 17.1

PostgreSQL 16 < 16.5

PostgreSQL 15 < 15.9

PostgreSQL 14 < 14.14

PostgreSQL 13 < 13.17

PostgreSQL 12 < 12.21

三、修复建议

目前该漏洞已经修复,受影响用户可升级到PostgreSQL 17.116.515.914.1413.1712.21或更高版本。