Varonis的网络安全研究人员发现PostgreSQL中存在一个严重的安全漏洞，该漏洞可能导致数据泄露和系统入侵。了解技术细节、受影响的版本以及如何缓解此威胁。

Varonis的网络安全研究员Tal Peleg和Coby Abrams发现，广泛使用的开源数据库系统PostgreSQL中存在一个高危漏洞。该漏洞编号为CVE-2024-10979，有可能危及全球无数数据库的安全。

根据Varonis发布分享的报告，该漏洞在CVSS严重性等级上得分为8.8，这凸显了漏洞的严重性。令人担忧的是，任何PostgreSQL版本在17.1、16.5、15.9、14.14、13.17和12.21之前都存在漏洞。

它允许非特权用户操纵PostgreSQL PL/Perl扩展中的环境变量。请注意，PL/Perl扩展是一种允许您使用Perl编程语言编写数据库函数的工具。攻击者可以利用此交互中的弱点来操纵运行数据库的服务器上的环境变量。

“PostgreSQL PL/Perl中对环境变量的错误控制允许非特权数据库用户更改敏感的进程环境变量（例如PATH）。这通常足以实现任意代码执行，即使攻击者没有数据库服务器操作系统用户身份。”PostgreSQL在公告中解释道。

环境变量就像是控制程序运行方式的隐藏设置。通过更改这些变量，攻击者可能会执行恶意代码，最终窃取数据或控制系统。

此外，环境变量有时会保存敏感信息，例如访问密钥或文件路径。通过操纵这些信息，攻击者可能会从数据库服务器窃取有价值的信息。

缓解策略包括立即将PostgreSQL安装修补至版本17.1、16.5、15.9、14.14、13.17或12.21。这些更新版本包含针对此漏洞的修复程序。

Varonis建议将PostgreSQL更新到最新的次要版本并限制允许的扩展。这包括将CREATE EXTENSIONS权限授予限制到特定扩展，并设置shared_preload_libraries配置参数以仅加载所需的扩展。修复的完整描述可在此处获得。

此外，限制用户可以在数据库中安装的扩展，以防止攻击者利用漏洞，并授予用户最小的权限以最大限度地减少损害。