PostgreSQL 高危漏洞可导致环境变量被利用

发布于2024年11月16日2025年7月19日作者:cve-20

PostgreSQL 高危漏洞可导致环境变量被利用

THN 代码卫士 2024-11-15 17:35

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞，它可导致低权限用户修改环境变量，并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979，CVSS评分8.8。

环境变量是指用户定义的值，它们可允许程序在运行时动态提取多种信息类型如访问密钥和软件安装路径，而无需进行硬编码。在某些操作系统中，它们会在启动阶段被初始化。

PostgreSQL 在周四发布的安全公告中提到，“对 PostgreSQL PL/Perl 中环境变量的不正确控制可导致低权限数据库用户更改敏感的流程环境变量（如PATH）。它通常可导致任意代码执行后果，即使攻击者缺乏数据库服务器操作系统用户。”

该漏洞已在 PostgreSQL 17.1、16.5、15.9、14.14、13.17和12.21中修复。Varonis 公司的研究员 Tal Peleg 和 Coby Abrams 发现了该漏洞，并表示它可导致“严重的安全问题”，具体取决于攻击场景。这些问题包括但不仅限于通过修改环境变量如PATH执行任意代码，或通过运行恶意查询，从机器上提取有价值信息等。

目前并未发布该漏洞的更多详情，以便用户有足够的时间应用修复方案。建议用户限制扩展白名单。Varonis 公司表示，“例如，仅将 CREATE EXTENSIONS 权限授予特定的扩展，将 shared_preload_libraries 配置参数设置为加载仅要求的扩展，按照最小权限原则，通过限制 CREATE FUNCTION 权限，限制角色创建函数。”

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

已存在数十年的PostgreSQL漏洞影响多家云厂商，企业数据库遭暴露

对象关系数据库管理系统PostgreSQL发布补丁

开源客户端qBittorrent 修复已存在14年的RCE漏洞

NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞

原文链接

https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html

题图：
Pixabay
License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。