PostgreSQL数据库存在高危漏洞CVE-2024-10979（8.8）

PostgreSQL发现严重安全漏洞，可能导致数据泄露和系统被入侵

Varonis安全研究团队的Tal Peleg和Coby Abrams发现了一个影响广泛使用的开源数据库系统PostgreSQL的高危漏洞。该漏洞被编号为CVE-2024-10979，可能会威胁到全球众多数据库的安全。

根据Varonis周五发布的研究报告，这个漏洞在CVSS评分系统中达到了8.8分的高危等级。值得注意的是，所有低于17.1、16.5、15.9、14.14、13.17和12.21版本的PostgreSQL都存在这一漏洞。

这个漏洞允许普通用户在PostgreSQL的PL/Perl扩展中操纵环境变量。需要说明的是，PL/Perl扩展是一个允许用户使用Perl语言编写数据库函数的工具。攻击者可以利用这个漏洞来操控运行数据库服务器上的环境变量。

PostgreSQL在其安全公告(https://www.postgresql.org/support/security/CVE-2024-10979/)中解释道："PostgreSQL PL/Perl(https://www.postgresql.org/docs/current/plperl.html)中对环境变量的控制存在缺陷，使得普通数据库用户可以修改敏感的进程环境变量（如PATH）。即使攻击者没有数据库服务器操作系统用户权限，这种漏洞也足以让他们执行任意代码。"

环境变量就像是控制程序运行的隐藏开关。攻击者通过修改这些变量，可能会执行恶意代码，最终窃取数据或控制整个系统。

更严重的是，环境变量有时会包含访问密钥或文件路径等敏感信息。攻击者可能会通过操纵这些变量来窃取数据库服务器中的重要信息。

要修复这个漏洞，建议立即将PostgreSQL更新到以下版本之一：17.1、16.5、15.9、14.14、13.17或12.21。这些更新版本已经修复了这个安全漏洞。

Varonis建议用户采取以下防护措施：

1. 更新PostgreSQL至最新小版本
2. 严格限制允许使用的扩展
3. 只向特定扩展授予CREATE EXTENSIONS权限
4. 将shared_preload_libraries配置参数设置为仅加载必需的库

完整的修复方案可以在这里(https://github.com/postgres/postgres/commit/b7e3a52a877cffb42ec7208232e30a8e44231e01)查看。

此外，建议限制用户安装数据库扩展的权限，防止攻击者利用漏洞，同时遵循最小权限原则，以降低可能造成的损失。

https://www.varonis.com/blog/cve-postgresql-pl/perl