[TLP:CLEAR] PostgreSQL opravuje 1 zraniteľnosť

PostgreSQL verziami 16.4, 15.8, 14.13, 13.16 a 12.20 opravuje 1 zraniteľnosť a niekoľko chýb, ktorým nebol pridelený identifikátor CVE. Detaily je možné nájsť na [1].

PostgreSQL - SQL privilege escalation (CVE-2024-7348) CVSS 8.8 (High)

Autentizovanému vzdialenému útočníkovi s právami na vytváranie a rušenie permanentných objektov je umožnené vykonať SQL injection útok, pričom kód bude spustený s právami procesu "pg_dump" (obvykle superpoužívateľ). Pre zabránenie zneužitia zraniteľnosti je potrebné, aby aj stroj, z ktorého je vytváraná záloha, aj stroj, ktorý vytvára zálohu pomocou nástroja "pg_dump" bol aktualizovaný na jednu z opravených verzií a zároveň je potrebné správne nastaviť parameter "restrict_nonsystem_relation_kind " [1]. Popis tohoto parametru je možné nájsť na [2].

Zraniteľnosť sa nachádza v produkte PostgreSQL vo verziách (>=16 AND <16.4) OR (>=15 AND <15.8) OR (>=14 AND <14.13) OR (>=13 AND <13.16) OR (>=12 AND <12.20).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 8. 2024.


Publikoval Martin Krajči dňa 9. 8. 2024.

CESNET CERTS Logo