Grupa za globalni razvoj PostgreSQL-a objavila je kritično sigurnosno ažuriranje za sve podržane verzije PostgreSQL-a.
Sve podržane verzije PostgreSQL-a uključuju 17.1, 16.5, 15.9, 14.14, 13.17 i 12.21.
Iako ovo sigurnosno ažuriranje rješava četiri sigurnosne propuste i preko 35 grešaka prijavljenih u posljednjih nekoliko mjeseci.
Ranjivosti koje su adresirane u ovom sigurnosnom ažuriranju praćene su kao “CVE-2024-10976”, “CVE-2024-10977”, “CVE-2024-10978” i “CVE-2024-10979”.
Štaviše, PostgreSQL programeri su predstavili ovo ažuriranje kao konačno izdanje PostgreSQL 12, a ovo izdanje označava kraj podrške za PostgreSQL 12.
Sigurnosne ranjivosti
CVE-2024-10976: Sigurnosna ranjivost reda
Ova ranjivost utiče na PostgreSQL verzije od 12 do 17, sa CVSS v3.1 osnovnim rezultatom od 4,2. Omogućava ponovno korištenim upitima da potencijalno pregledaju ili mijenjaju neželjene redove zbog nepotpunog praćenja tabela sa sigurnošću reda.
CVE-2024-10977: libpq zadržavanje poruke o grešci
Utičući na verzije od 12 do 17, ova ranjivost ima CVSS v3.1 osnovnu ocjenu 3,1. Omogućuje potencijalno malicioznom serveru da pošalje proizvoljne bajtove koji nisu NUL libpq aplikacijama , što bi se moglo zamijeniti za valjane rezultate upita.
CVE-2024-10978: Problem resetovanja korisničkog ID-a
Uz osnovnu ocjenu CVSS v3.1 od 4,2, ova ranjivost utiče na verzije od 12 do 17. Može dovesti do pogrešne dodjele privilegija kada se koristi SET ROLE ili SET SESSION AUTHORIZATION, potencijalno omogućavajući manje privilegovanim korisnicima pristup neovlaštenim podacima.
CVE-2024-10979: PL/Perl promenljiva ranjivost okruženja
Ova kritična ranjivost pogađa verzije od 12 do 17, sa CVSS v3.1 osnovnim rezultatom od 8,8. Omogućava neprivilegovanim korisnicima baze podataka da modifikuju osjetljive varijable procesnog okruženja, potencijalno omogućavajući izvršenje proizvoljnog koda.
Ažuriranje uključuje preko 35 ispravki grešaka, rješavajući probleme kao što su:
- Spajanje i odvajanje particije sa ograničenjima stranog ključa
- Problemi sa provajderom slaganja
- Poboljšanja planera upita
- Uslovi utrke u obavezama transakcije
- Potrošnja memorije logičkog dekodiranja
- JIT se ruši na ARM sistemima
Osim toga, izdanje ažurira datoteke sa podacima o vremenskoj zoni na tzdata izdanje 2024b, što utiče na nazive zona kompatibilnosti sa System-V i istorijske ispravke za nekoliko zemalja.
Korisnici mogu primijeniti ovo ažuriranje tako što će isključiti PostgreSQL i ažurirati njegove binarne datoteke. Međutim, neki scenariji zahtijevaju dodatne korake:-
- Za particionirane tablice s ograničenjima stranog ključa na koje utiču naredbe ATTACH/DETACH PARTITION, mogu biti potrebna ručna podešavanja.
- Korisnici PostgreSQL 17.0 sa specifičnim postavkama lokalizacije moraju ponovo izgraditi indekse zasnovane na tekstu pomoću naredbe REINDEX INDEX CONCURRENTLY.
Ključno je pregledati napomene o izdanju za detaljne upute za nadogradnju i potencijalne korake nakon ažuriranja, posebno za korisnike koji su preskočili prethodna ažuriranja.
Korisnicima koji koriste PostgreSQL 12 u proizvodnim okruženjima preporučujemo nadogradnju na noviju, podržanu verziju kako bi osigurali kontinuiranu sigurnost i ispravke grešaka.
U zaključku, ovo sveobuhvatno bezbjednosno ažuriranje naglašava posvećenost PostgreSQL Global Development Group održavanju bezbjednog i pouzdanog sistema upravljanja bazom podataka.
Korisnici se pozivaju da odmah primjene ovo ažuriranje kako bi umanjili potencijalne sigurnosne rizike i imali koristi od najnovijih poboljšanja.
Izvor: CyberSecurityNews
