[TLP:CLEAR] PostgreSQL opravuje 1 zraniteľnosť
PostgreSQL verziami 16.4, 15.8, 14.13, 13.16 a 12.20 opravuje 1 zraniteľnosť a niekoľko chýb, ktorým nebol pridelený identifikátor CVE. Detaily je možné nájsť na [1].
Autentizovanému vzdialenému útočníkovi s právami na vytváranie a rušenie permanentných objektov je umožnené vykonať SQL injection útok, pričom kód bude spustený s právami procesu "pg_dump" (obvykle superpoužívateľ). Pre zabránenie zneužitia zraniteľnosti je potrebné, aby aj stroj, z ktorého je vytváraná záloha, aj stroj, ktorý vytvára zálohu pomocou nástroja "pg_dump" bol aktualizovaný na jednu z opravených verzií a zároveň je potrebné správne nastaviť parameter "restrict_nonsystem_relation_kind " [1]. Popis tohoto parametru je možné nájsť na [2].
Zraniteľnosť sa nachádza v produkte PostgreSQL vo verziách (>=16 AND <16.4) OR (>=15 AND <15.8) OR (>=14 AND <14.13) OR (>=13 AND <13.16) OR (>=12 AND <12.20).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-7348 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 8. 2024.