漏洞描述:

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统（RDBMS），支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统，并因其高度兼容SQL标准和强大的扩展功能，被广泛使用作为Web应用和服务的后端数据库。

PostgreSQL发布安全公告,其中披露了一个PostgreSQL权限管理不当漏洞,由于对环境变量的不正确控制,导致允许非特权数据库用户可以更改敏感的进程环境变量,最终导致实现任意代码执行。

修复建议:
正式防护方案

厂商已发布补丁修复漏洞,建议尽快更新至安全版本,目前该漏洞已经修复,受影响用户可升级到PostgreSQL17.1、16.5、15.9、14.14、13.17、12.21或更高版本

下载链接:
https://www.postgresql.org/download/

影响范围:

PostgreSQL 17 < 17.1

PostgreSQL 16 < 16.5

PostgreSQL 15 < 15.9

PostgreSQL 14 < 14.14

PostgreSQL 13 < 13.17

PostgreSQL 12 < 12.21

安全版本:

postgresql >= 17.1

postgresql >= 16.5

postgresql >= 15.9

postgresql >= 14.14

postgresql >= 13.17

postgresql >= 12.21

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。