The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса

15.11.2024 22:56

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут.

Опасная уязвимость (CVE-2024-10979), который присвоен уровень опасности 8.8 из 10, позволяет любому пользователю СУБД, обладающему правами на создание функций PL/Perl, добиться выполнения кода с правами пользователя, под которым работает СУБД. Уязвимость вызвана тем, что в функциях PL/Perl можно изменить переменные окружения рабочего процесса, включая переменную PATH, определяющую пути к исполняемым файлам, и специфичные для PostgreSQL переменные окружения. Отмечается, что для совершения атаки достаточно доступа к СУБД и не требуется наличие учётной записи в операционной системе.


   CREATE OR REPLACE FUNCTION plperl_set_env_var()
   RETURNS void AS
   $$
    $ENV{'ENV_VAR'} = 'testval';
   $$ LANGUAGE plperl;

   SELECT plperl_set_env_var();

Дополнение: В опубликованных выпусках выявлены регрессивные изменения, для исправления которых 21 ноября решено сформировать внеплановые обновления PostgreSQL 17.2, 16.6, 15.10, 14.15, 13.20 и 12.22. В частности, исправление уязвимости CVE-2024-10978 привело к неработоспособности конструкций "ALTER USER ... SET ROLE ...". Кроме того на уровне ABI нарушена совместимость с некоторыми дополнениями, использующими структуру ResultRelInfo (проблема решается пересборкой дополнений).

  1. Главная ссылка к новости (https://www.postgresql.org/abo...)
  2. OpenNews: Релиз СУБД PostgreSQL 17
  3. OpenNews: Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с правами пользователя, запускающего pg_dump
  4. OpenNews: Разработчики PostgreSQL опровергли наличие уязвимости в COPY..PROGRAM
  5. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62238-postgresql
Ключевые слова: postgresql
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, commiethebeastie (ok), 23:02, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это фича, защита должна быть на другом уровне. GREENPLUM посмотрите.
     
  • 1.2, Аноним (2), 23:10, 15/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гит Блейм в студию.
     
  • 1.6, Аноним (6), 00:03, 16/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Всё-таки уязвимость не в Postgresql, а в Postgresql/Perl, который (тот редкий случай, когда можно говорить за всех) никому не нужен. Это из разряда "посмотри, не включен ли случайно PL/Perl, и если да, отруби".
     
     
  • 2.8, Аноним (8), 04:02, 16/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Это из разряда

    про посудную лавку :)

     
  • 2.13, Аноним (13), 09:43, 16/11/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Так и хорошо кроме Китайских хакеров сабжем никто и не пользовался никогда. Специально для них же сделано.
     
  • 2.15, Аноннн (?), 10:37, 16/11/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.22, mos87 (ok), 18:40, 16/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очевидно, что изначально там должен был быть только PL/Perl, чтобы не городить велосипедов.

    А ты не говори всё-таки.

     
  • 2.24, 1 (??), 09:50, 18/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы именно в Postgre ...

    Просто я не представляю ситуацию, когда не админу разрешено создавать функции Pl/Perl, да в общем-то и какие другие. Уже давно хранилки выведены на уровень сервера приложений.

     
     
  • 3.28, Сталин (?), 15:07, 18/11/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да нет никакой «Постгре», где вы это название взяли? Есть Postgres и PostreSQL.
     

  • 1.9, Аноним (9), 05:52, 16/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Обновляться рано, надо еще подождать: https://www.postgresql.org/message-id/173171334532.1547978.1518068370217143844
     
  • 1.16, Аноним (16), 12:41, 16/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > для совершения атаки достаточно доступа к СУБД

    Достаточно??? Рукалицо...

     
     
  • 2.17, Аноним (16), 12:42, 16/11/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Чтобы угнать автомобиль достаточно иметь ключ!
     
     
  • 3.18, нах. (?), 14:26, 16/11/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    и брелок сигналки.

    Не, ну надо же ж - код на перле выполняемый рабочим процессом - выполняется с правами рабочего процесса. Да кто б вообще мог такое подумать?! А если втянуть в него непроверенный user input - то еще и выполняется то что хотел юзер а не что-то еще. Ну надо же!

     
     
  • 4.29, Аноним (29), 21:24, 18/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > и брелок сигналки.

    Да вообще не обязательно, некоторые модели можно и без этого угнать, достаточно пары проводов подлиннее, ардуины, батарейки и правую фару достать. А какие-то и вовсе флиппером открываются.

     

  • 1.19, ьщккгнр (?), 15:24, 16/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хм, я правильно понял, что для того, чтобы этой уязвимостью воспользоваться, там дальше где-то должен быть exec?
     
  • 1.21, mos87 (ok), 18:38, 16/11/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

  • 1.25, ыы (?), 10:00, 18/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >не требуется наличие учётной записи в системе.

    не требуется наличие учетной записи в операционной системе?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру