一、漏洞详情

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统（RDBMS），支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。

近日，监测到PostgreSQL中修复了一个代码执行漏洞（CVE-2024-10979）。PostgreSQL多个受影响版本中，当PL/Perl扩展被安装并启用时，由于PL/Perl扩展未能正确控制环境变量，导致非特权数据库用户可以修改敏感的进程环境变量（如PATH），并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限，或者执行数据窃取、数据篡改或破坏等恶意操作。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻

二、影响范围

PostgreSQL 17 < 17.1

PostgreSQL 16 < 16.5

PostgreSQL 15 < 15.9

PostgreSQL 14 < 14.14

PostgreSQL 13 < 13.17

PostgreSQL 12 < 12.21

三、修复建议

目前该漏洞已经修复，受影响用户可升级到PostgreSQL 17.1、16.5、15.9、14.14、13.17、12.21或更高版本。