PostgreSQL 修复代码执行漏洞CVE-2024-10979

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统（RDBMS），宽松许可证使任何人都可免费使用、修改和分发。

PostgreSQL支持Windows、Linux、UNIX、Mac OS X、BSD等系统，支持几乎所有SQL构件（如子查询，事务和用户定义类型和函数）。

一、基本情况

PostgreSQL支持大部分的SQL标准和现代特性，因其高度兼容SQL标准和强大的扩展功能，被广泛使用作为Web应用和服务后端数据库。

PostgreSQL支持复杂查询、外键、触发器、事务完整性、多版本并发控制等，拥有多语言绑定（如C、C++、Java、perl、tcl、python）。

栋科技漏洞库关注到PostgreSQL于2024年11月14日发布安全公告，修复一个代码执行漏洞CVE-2024-10979，该漏洞的CVSS评分为8.8。

二、漏洞分析

CVE-2024-10979漏洞源于PostgreSQL的PL/Perl中，环境变量控制不当，允许无特权的数据库用户更改敏感进程环境变量（例如PATH）。

PostgreSQL多个受影响版本中，当PL/Perl扩展被安装并启用时未能正确控制环境变量，非特权数据库用户可以修改敏感的进程环境变量。

攻击者可能修改敏感的进程环境变量（如PATH），并可能利用这一漏洞执行任意代码、获得对数据库服务器未授权访问权限等严重后果。

该漏洞存在通常足以执行任意代码，即使没有数据库服务器操作系统用户权限的攻击者也能执行数据窃取、数据篡改或破坏等恶意操作。

PostgreSQL项目感谢Coby Apams报告这一漏洞，PostgreSQL 17.1、16.5、15.9、14.14、13.17以及12.21之前的版本都会受到漏洞影响。

三、影响范围

PostgreSQL 17 < 17.1

PostgreSQL 16 < 16.5

PostgreSQL 15 < 15.9

PostgreSQL 14 < 14.14

PostgreSQL 13 < 13.17

PostgreSQL 12 < 12.21

四、修复建议

目前该漏洞已经修复，受影响用户可升级到PostgreSQL 17.1、16.5、15.9、14.14、13.17、12.21或更高版本。 

五、参考链接

https://www.postgresql.org/support/security/CVE-2024-10979/