11月14日關聯式資料庫軟體平臺PostgreSQL開發團隊發布17.1、16.5、15.9、14.14、13.17,以及12.21版一系列更新,本次修補4項資安漏洞,以及35項程式臭蟲。
其中,最值得留意的是被列為高風險層級的CVE-2024-10979,此為PL與Perl環境變數變更造成的弱點,使得攻擊者有機會執行任意程式碼,CVSS風險達到8.8(滿分10分)。
這項漏洞發生的原因,在於PL與Perl環境變數的控制方式不良,導致不具特權的資料庫使用者,有機會改變敏感處理程序的環境變數(如PATH)。開發團隊進一步指出,即使攻擊者並未具備資料庫作業系統的使用者身分,還是有可能藉此執行任意程式碼。
這是針對PostgreSQL 12系統進行修補的最後一次更新,開發團隊呼籲用戶盡快規畫更新,將採用此版本的正式環境資料庫升級到較新的已支援版本。
熱門新聞
2024-12-16
2024-12-16
2024-12-17
2024-11-29
Advertisement