网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞，它可导致低权限用户修改环境变量，并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979，CVSS评分8.8。

环境变量是指用户定义的值，它们可允许程序在运行时动态提取多种信息类型如访问密钥和软件安装路径，而无需进行硬编码。在某些操作系统中，它们会在启动阶段被初始化。

PostgreSQL 在周四发布的安全公告中提到，“对 PostgreSQL PL/Perl 中环境变量的不正确控制可导致低权限数据库用户更改敏感的流程环境变量（如PATH）。它通常可导致任意代码执行后果，即使攻击者缺乏数据库服务器操作系统用户。”

该漏洞已在 PostgreSQL 17.1、16.5、15.9、14.14、13.17和12.21中修复。Varonis 公司的研究员 Tal Peleg 和 Coby Abrams 发现了该漏洞，并表示它可导致“严重的安全问题”，具体取决于攻击场景。这些问题包括但不仅限于通过修改环境变量如PATH执行任意代码，或通过运行恶意查询，从机器上提取有价值信息等。

目前并未发布该漏洞的更多详情，以便用户有足够的时间应用修复方案。建议用户限制扩展白名单。Varonis 公司表示，“例如，仅将 CREATE EXTENSIONS 权限授予特定的扩展，将 shared_preload_libraries 配置参数设置为加载仅要求的扩展，按照最小权限原则，通过限制 CREATE FUNCTION 权限，限制角色创建函数。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~