Търсене
Close this search box.

Изследователи от Varonis са открили уязвимост в езиковото разширение PL/Perl на Postgres, която позволява на потребителя да задава произволни променливи на средата в сесийните процеси на PostgreSQL.

Уязвимостта е получила оценка CVSS 8.8 за сериозност и може да доведе до сериозни проблеми със сигурността в зависимост от сценария, при който се използва.

Проследен като CVE-2024-10979, недостатъкът позволява на  заплахата да модифицира чувствителна среда, което в крайна сметка  и позволява да изпълни произволен код, без да има достъп до потребителя на операционната система.

Уязвимостта също така позволява на  заплахата да изпълнява допълнителни заявки, за да събира информация за машината и нейното съдържание.

Версиите, предхождащи PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, са засегнати от тази уязвимост и могат да бъдат намалени чрез обновяване на PostgreSQL, „като минимум до последната минорна версия“, според изследователите, както и чрез ограничаване на разрешените разширения.

Клиентите на Postgres трябва също така да прегледат ddl логовете за създаване на функции, които не разпознават или не са създали сами, за да преценят дали са били засегнати.

 

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

SAP обяви пускането на 13 ...

Производителят на корпоративен софтуер SAP обяви...
10/12/2024

Ubisoft отстрани конфликти ...

Microsoft вече частично отмени блокирането на...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!