PostgreSQL выпустил обновление безопасности для исправления нескольких уязвимостей
13 ноября 2024 года группа разработки PostgreSQL выпустила критическое обновление безопасности для всех поддерживаемых версий PostgreSQL. Обновление включает версии PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21. В рамках этого обновления исправлены четыре уязвимости и более 35 ошибок.
Уязвимости безопасности
CVE-2024-10976: Уязвимость безопасности строк
Эта уязвимость затрагивает версии PostgreSQL с 12 по 17. С CVSS v3.1 базовым баллом 4.2, она позволяет повторно использованным запросам возможно просматривать или изменять непреднамеренные строки из-за неполного отслеживания таблиц с безопасностью строк.
CVE-2024-10977: Сохранение сообщений об ошибках libpq
Эта уязвимость затрагивает версии с 12 по 17 и имеет CVSS v3.1 базовый балл 3.1. Зловредный сервер может отправлять произвольные байты (не являющиеся NUL) в приложения libpq, что может быть ошибочно воспринято как результат действительного запроса.
CVE-2024-10978: Проблема сброса идентификатора пользователя
Уязвимость с CVSS v3.1 баллом 4.2, которая может привести к неправильному назначению привилегий при использовании команд SET ROLE или SET SESSION AUTHORIZATION, что позволяет менее привилегированным пользователям получить доступ к несанкционированным данным.
CVE-2024-10979: Уязвимость переменных окружения PL/Perl
Эта уязвимость затрагивает версии с 12 по 17 с CVSS v3.1 базовым баллом 8.8. Она позволяет непривилегированным пользователям изменять чувствительные переменные окружения базы данных, что может привести к выполнению произвольного кода.
Исправления и обновления
Обновление включает более 35 исправлений ошибок, включая:
- Проблемы с прикреплением и отсоединением разделов с внешними ключами.
- Проблемы с поставщиками сортировки.
- Улучшения планировщика запросов.
- Состояния гонки при коммите транзакций.
- Проблемы с памятью при логическом декодировании.
- Сбои JIT на ARM-системах.
Кроме того, в обновлении обновлены данные о временных зонах до версии tzdata 2024b, что затрагивает имена зон, совместимые с системами-V, и исторические корректировки для нескольких стран.
Рекомендации по установке
Пользователи могут установить это обновление, остановив PostgreSQL и обновив его бинарные файлы. Однако в некоторых случаях могут потребоваться дополнительные шаги:
- Для разделённых таблиц с внешними ключами, затронутыми командами ATTACH/DETACH PARTITION, может потребоваться вручную настроить ограничения.
- Пользователи PostgreSQL 17.0 с определёнными региональными настройками должны перестроить текстовые индексы с помощью команды REINDEX INDEX CONCURRENTLY.
Рекомендации для пользователей
Пользователи, работающие с PostgreSQL 12 в производственных средах, должны как можно скорее обновить систему до более новой поддерживаемой версии, так как поддержка PostgreSQL 12 прекращена. Обновление важно для обеспечения безопасности и исправления ошибок.
Этот комплексный выпуск обновления безопасности подчеркивает приверженность группы разработки PostgreSQL поддерживать свою систему управления базами данных в безопасности и надежности.
