PostgreSQL veritabanı yazılımındaki bir güvenlik açığı, saldırganların rastgele SQL komutları enjekte etmesine ve yürütmesine olanak tanıyor. Geliştiriciler açığı yüksek risk olarak sınıflandırıyor. Güncellenen PostgreSQL paketleri temeldeki hataları düzeltir.
Duyuru
Güvenlik açığı açıklamasında PostgreSQL programcıları, güncelleme komutunun bir adımının yetersiz güvenlik kısıtlamalarıyla yürütüldüğünü açıklıyor. “Materyalleştirilmiş Görünüm” adı verilen bir görünümün sahibi daha sonra süper kullanıcılara veya daha yüksek haklara sahip kullanıcılara SQL kodunu empoze edebilir ve bu daha sonra bir “yenileme” komutu sırasında haklarıyla birlikte yürütülür (CVE-2024-0985, CVSS) 8.0“Risk”yüksek“).
PostgreSQL güvenlik açığı SQL kodunu yükseltilmiş ayrıcalıklarla çalıştırıyor
Özellikle güvenlik açığının nedeni erişim haklarından çok geç vazgeçilmesidir. PostgreSQL'in “Materyalleştirilmiş Görünümü Eşzamanlı Olarak Güncelle” özelliği, nesneyi oluşturan kişinin, işlevi yürüten kişinin haklarıyla isteğe bağlı SQL işlevlerini çağırmasına olanak tanır. Saldırganların, kurbanı, kendileri tarafından oluşturulan somutlaştırılmış bir görünüm üzerinde güncelleme işlevini yürütmeye ikna etmesi gerekir. Hata düzeltmesi artık herhangi bir özel kodun, gerçekleştirilmiş görünüm sahibinin haklarıyla çalışmasını sağlıyor.
Güvenlik açığı, 12'den 15'e kadar tüm PostgreSQL geliştirme dallarında bulunuyor. Hata düzeltilen paketlerin sürüm numaraları 15.6, 14.11, 13.14 ve 12.18 veya üzeridir. PostgreSQL veritabanı yöneticileri, kötü niyetli aktörlerin saldırı yüzeyini azaltmak için güncellenmiş sürümleri hızlı bir şekilde yüklemelidir.
Aralık ayında geliştiriciler PostgreSQL veritabanına artımlı yedeklemeler ekledi. Veritabanı, parametreler kullanılarak uygun artımlı yedeklemeler için hazırlandı --incremental komut satırı komutunun pg_basebackup öğrenmek. Bu nedenle veritabanı sürüm 17 bu özelliği de beraberinde getirmelidir.
(Bilmiyorum)
Haberin Sonu
Duyuru
Güvenlik açığı açıklamasında PostgreSQL programcıları, güncelleme komutunun bir adımının yetersiz güvenlik kısıtlamalarıyla yürütüldüğünü açıklıyor. “Materyalleştirilmiş Görünüm” adı verilen bir görünümün sahibi daha sonra süper kullanıcılara veya daha yüksek haklara sahip kullanıcılara SQL kodunu empoze edebilir ve bu daha sonra bir “yenileme” komutu sırasında haklarıyla birlikte yürütülür (CVE-2024-0985, CVSS) 8.0“Risk”yüksek“).
PostgreSQL güvenlik açığı SQL kodunu yükseltilmiş ayrıcalıklarla çalıştırıyor
Özellikle güvenlik açığının nedeni erişim haklarından çok geç vazgeçilmesidir. PostgreSQL'in “Materyalleştirilmiş Görünümü Eşzamanlı Olarak Güncelle” özelliği, nesneyi oluşturan kişinin, işlevi yürüten kişinin haklarıyla isteğe bağlı SQL işlevlerini çağırmasına olanak tanır. Saldırganların, kurbanı, kendileri tarafından oluşturulan somutlaştırılmış bir görünüm üzerinde güncelleme işlevini yürütmeye ikna etmesi gerekir. Hata düzeltmesi artık herhangi bir özel kodun, gerçekleştirilmiş görünüm sahibinin haklarıyla çalışmasını sağlıyor.
Güvenlik açığı, 12'den 15'e kadar tüm PostgreSQL geliştirme dallarında bulunuyor. Hata düzeltilen paketlerin sürüm numaraları 15.6, 14.11, 13.14 ve 12.18 veya üzeridir. PostgreSQL veritabanı yöneticileri, kötü niyetli aktörlerin saldırı yüzeyini azaltmak için güncellenmiş sürümleri hızlı bir şekilde yüklemelidir.
Aralık ayında geliştiriciler PostgreSQL veritabanına artımlı yedeklemeler ekledi. Veritabanı, parametreler kullanılarak uygun artımlı yedeklemeler için hazırlandı --incremental komut satırı komutunun pg_basebackup öğrenmek. Bu nedenle veritabanı sürüm 17 bu özelliği de beraberinde getirmelidir.
(Bilmiyorum)
Haberin Sonu