关于PostgreSQL代码执行漏洞（CVE-2024-10979）的预警提示

发布时间：2024-11-27浏览次数：10

一、漏洞详情 PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统（RDBMS），支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。 近日，监测到PostgreSQL中修复了一个代码执行漏洞（CVE-2024-10979）。PostgreSQL多个受影响版本中，当PL/Perl扩展被安装并启用时，由于PL/Perl扩展未能正确控制环境变量，导致非特权数据库用户可以修改敏感的进程环境变量（如PATH），并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限，或者执行数据窃取、数据篡改或破坏等恶意操作。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻 二、影响范围 PostgreSQL 17 < 17.1 PostgreSQL 16 < 16.5 PostgreSQL 15 < 15.9 PostgreSQL 14 < 14.14 PostgreSQL 13 < 13.17 PostgreSQL 12 < 12.21 三、修复建议 目前该漏洞已经修复，受影响用户可升级到PostgreSQL 17.1、16.5、15.9、14.14、13.17、12.21或更高版本。