[TLP:CLEAR] PostgreSQL opravuje vysoce závažnou zranitelnost
PostgreSQL verzemi 17.4, 16.8, 15.12, 14.17 a 13.20 opravuje regresi vysoce závažné zranitelnosti [1] původně opravené 13.2.2025 [2][3][4].
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému zpracování uvozovací syntaxe některými funkcemi knihovny libpq pomocí speciálně vytvořeného vstupu umožněno provést SQL injection útok, který vyžaduje využití výstupu z dotčených funkcí pro konstrukci vstupu do interaktivního terminálu psql. Obdobná chyba v dalších příkazových nástrojích PostgreSQL umožňuje útok provést, je-li client_encoding nastaveno na BIG5 a server_encoding na EUC_TW nebo MULE_INTERNAL [5]. Původní oprava vedla k regresi, kdy mohlo docházet k pádům aplikace [1].
Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=13 AND <13.20) OR (>=14 AND <14.17) OR (>=15 AND <15.12) OR (>=16 AND <16.8) OR (>=17 AND <17.4).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-1094 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-149: Improper Neutralization of Quoting Syntax at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 2. 2025.
Odkazy
- [1] https://www.postgresql.org/about/news/postgresql-174-168-1512-1417-and-1320-released-3018/
- [2] https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/
- [3] https://www.postgresql.org/message-id/Z64jD3u46gObCo1p@pryzbyj2023
- [4] https://www.postgresql.org/message-id/272abbd9-d24c-49f1-8b61-83721906aa3b@postgresql.org
- [5] https://www.postgresql.org/support/security/CVE-2025-1094/
Za CESNET-CERTS Michaela Ručková dne 24. 2. 2025.
