Sårbarhed i PostgreSQL

Researchere hos Varonis har konstateret en sårbarhed i Postgres sprogudvidelse PL/Perl. Sårbarheden giver mulighed for at sende vilkårlige "environment"-variabler til PostgreSQL sessionsprocesser. Sårbarheden har id’et CVE-2024-10797 og en CVSS-score på 8,8. 

De sårbare produkter er versioner af PostgreSQL før 17.1, 16.5, 15.9, 14.14, 13.17 og 12.21.

Afhængigt af scenariet, hvor sårbarheden udnyttes, kan sårbarheden føre til, at en ondsindet aktør kan ændre på "environment"-variabler. Dette kan i sidste ende betyde, at der er muligt at udføre vilkårlig kode uden brug af en legitim bruger af operativsystemet.

Det anbefales at opdatere PostgreSQL til en version som ikke er sårbar.

PostgreSQL er et open source objektrelationelt databasesystem, der bruger og udvider SQL-sproget kombineret med flere funktioner, der kan gemme og skalerer de mest komplicerede dataarbejdsbelastninger.

Ifølge PostgrelSQLs hjemmeside går oprindelsen af ​​PostgreSQL tilbage til 1986 som en del af POSTGRES-projektet ved University of California i Berkeley og har mere end 35 års aktiv udvikling bag sig på kerneplatformen. 

Links:

https://nvd.nist.gov/vuln/detail/CVE-2024-10397

https://www.postgresql.org/support/security/CVE-2024-10979/