Varonis’teki araştırmacılar bir güvenlik açığı keşfetti Postgres içinde PL/Perl dil uzantısı, kullanıcının PostgreSQL oturum süreçlerinde isteğe bağlı ortam değişkenlerini ayarlamasına olanak tanır.
Güvenlik açığına ciddiyet açısından CVSS 8.8 puanı verildi ve güvenlik açığından yararlanıldığı senaryoya bağlı olarak ciddi güvenlik sorunlarına yol açabilir.
CVE-2024-10979 olarak takip edilen kusur, bir tehdit aktörünün hassas bir ortamı değiştirmesine ve sonuçta işletim sistemi kullanıcısına erişmeden rastgele kod yürütmesine olanak tanıyor.
Güvenlik açığı ayrıca bir tehdit aktörünün makine ve içeriği hakkında bilgi toplamak için ek sorgular çalıştırmasına da olanak tanır.
Önceki sürümler PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 ve 12.21 Bu güvenlik açığından etkilenenler ve araştırmacılara göre PostgreSQL’e “minimum en son küçük sürüme” yükseltme yapılması ve izin verilen uzantıların kısıtlanmasıyla hafifletilebilir.
Postgres müşterileri ayrıca, tanımadıkları veya kendilerinin oluşturmadığı işlevlerin etkilenip etkilenmediğini değerlendirmek için ddl günlüklerini incelemelidir.