CVE-2024-10979

Nome do software vulnerável e versões afetadas:

Versões do PostgreSQL anteriores à 17.1

Versões do PostgreSQL anteriores à 16.5

Versões do PostgreSQL anteriores à 15.9

Versões do PostgreSQL anteriores à 14.14

Versões do PostgreSQL anteriores à 13.17

Versões do PostgreSQL anteriores à 12.21

Descrição:

O problema está relacionado ao controle incorreto de variáveis de ambiente no PostgreSQL PL/Perl, permitindo que um usuário de banco de dados sem privilégios altere variáveis de ambiente de processo confidenciais, como PATH. Isso pode possibilitar a execução de código arbitrário, mesmo que o invasor não tenha uma conta de usuário no sistema operacional do servidor de banco de dados. A vulnerabilidade pode ser explorada pela alteração de variáveis de ambiente, levando potencialmente à execução de código ou vazamento de informações.

Recomendações:

Atualize para a versão 17.1 ou posterior para resolver o problema.

Atualize para a versão 16.5 ou posterior para resolver o problema.

Atualize para a versão 15.9 ou posterior para resolver o problema.

Atualize para a versão 14.14 ou posterior para resolver o problema.

Atualize para a versão 13.17 ou posterior para resolver o problema.

Atualize para a versão 12.21 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à extensão PL/Perl até que um patch esteja disponível.

Limite as extensões e use o princípio do privilégio mínimo para minimizar o risco de exploração.