PostgreSQL bir nechta zaifliklarga qarshi xavfsizlik yangilanishlarini chiqardi

PostgreSQL Global Development Group, 2024-yil 13-noyabrda barcha qo‘llab-quvvatlanayotgan PostgreSQL versiyalarini xavfsizlik yangilanishi bilan ta’minladi. Ushbu yangilanish PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 va 12.21 versiyalarini o‘z ichiga oladi. Yangilanishda to‘rt nafar xavfsizlik zaifligi va 35 dan ortiq xatoliklar tuzatildi.

CVE-2024-10976: Qator xavfsizligi zaifligi
Bu zaiflik PostgreSQL 12 dan 17 versiyalarigacha bo‘lgan tizimlarda mavjud. CVSS v3.1 bazaviy balli 4.2 bo‘lgan bu zaiflik, qator xavfsizligi bilan bog‘liq bo‘lgan jadvallarni to‘liq kuzatmaslik natijasida qayta ishlatilgan so‘rovlarda noto‘g‘ri qatorlarni ko‘rish yoki o‘zgartirishga olib kelishi mumkin.

CVE-2024-10977: libpq xatolik xabarlari saqlanishi
Bu zaiflik ham 12 dan 17 versiyalarigacha ta’sir qiladi va CVSS v3.1 bazaviy balli 3.1. Potensial zararli server libpq ilovalariga noto‘g‘ri (NUL bo‘lmagan) baytlarni yuborishi mumkin, bu esa haqiqiy so‘rov natijalari sifatida xato qayd etilishi mumkin.

CVE-2024-10978: Foydalanuvchi ID ni tiklash masalasi
12 dan 17 versiyalarigacha ta’sir qiluvchi bu zaiflik CVSS v3.1 balli 4.2 ga ega bo‘lib, SET ROLE yoki SET SESSION AUTHORIZATION komandalarini ishlatishda xato huquqlarni tayinlashga olib kelishi mumkin, bu esa past huquqli foydalanuvchilarga ruxsatsiz ma’lumotlarga kirish imkonini beradi.

CVE-2024-10979: PL/Perl atrof-muhit o‘zgaruvchisi zaifligi
Bu xavfsizlik zaifligi 12 dan 17 versiyalarigacha bo‘lib, CVSS v3.1 bazaviy balli 8.8 ga ega. Unprivileged foydalanuvchilar ma’lumotlar bazasining atrof-muhit o‘zgaruvchilarini o‘zgartirishi mumkin, bu esa tasodifiy kodni bajarishga imkon yaratadi.

Yangilanish 35 dan ortiq xatoliklarni ham tuzatadi, jumladan:

Tashqi kalit cheklovlari bilan bo‘lingan bo‘limlarni bog‘lash va ajratishdagi muammolar
Kollatsiya provayderi bilan bog‘liq masalalar
So‘rov rejalashtiruvchisi yaxshilanishlari
Tranzaktsiyalarni tasdiqlashda poygali holatlar
JIT xatoligi ARM tizimlarida

Foydalanuvchilar PostgreSQL-ni o‘chirib, uning binarlarini yangilash orqali bu yangilanishni o‘rnatishlari mumkin. Biroq, ba’zi holatlar qo‘shimcha qadamlarni talab qilishi mumkin:

Partitsiyalangan jadvallarni ATTACH/DETACH PARTITION buyruqlari bilan bog‘lashda qo‘llaniladigan cheklovlarni qo‘lda sozlash zarur bo‘lishi mumkin.
PostgreSQL 17.0 foydalanuvchilari, ma’lum bir mintaqaviy sozlamalar bilan, REINDEX INDEX CONCURRENTLY komandasini ishlatib, matn asosidagi indekslarni qayta qurishlari kerak.

Foydalanuvchilarga yangilanishni tezda o‘rnatish, xavfsizlikni ta’minlash va xatoliklarni bartaraf etish tavsiya etiladi. PostgreSQL 12-ni ishlab chiqarish muhitlarida ishlatadigan foydalanuvchilar yangilanishni amalga oshirishlari zarur, chunki PostgreSQL 12 qo‘llab-quvvatlash muddati tugagan.

PostgreSQL Global Development Group tomonidan chiqarilgan ushbu keng qamrovli xavfsizlik yangilanishi, tizimni xavfsiz va ishonchli saqlash uchun muntazam yangilanishlar va xavfsizlik choralari qo‘llash zarurligini ta’kidlaydi. Foydalanuvchilarga yangilanishni tezda o‘rnatish va yangilanish ko‘rsatmalarini diqqat bilan o‘rganish tavsiya etiladi.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

PostgreSQL bir nechta zaifliklarga qarshi xavfsizlik yangilanishlarini chiqardi

Oracle’ning «Agile PLM» frameworkida yuqori darajali zaiflik aniqlandi

Apache Tomcat’da bir necha yuqori darajali zaifliklar aniqlandi

Samba’ning Active Directory (AD) tizimida yuqori darajali zaiflik aniqlandi