聚焦源代码安全,网罗国内外最新资讯!
PostgreSQL 全球开发小组宣布发布影响所有受支持版本的重大安全更新。该更新适用于 PostgresSQL 17.6、16.10、15.14、14.19和13.22以及PostgreSQL 18的第三试用发布。本次更新共修复过去几个月来报送的3个安全漏洞和超过55个bug。
PostgreSQL 在安全公告中解释称,第一个漏洞CVE-2025-8713的CVSS评分为3.1,影响 PostgreSQL 13至17版本,“PostgreSQL 优化器统计数据可使用户读取用户无法访问的视图中的采样数据,统计数据可使用户读取行级安全策略旨在隐藏的采样数据。”该漏洞可能使恶意用户绕过视图访问控制列表和行安全策略,导致直方图、最常见值列表等敏感数据泄露。
第二个漏洞CVE-2025-8714(CVSS评分8.8)更为严重,它存在于PostgreSQL的pg_dump工具中,可能使源服务器的恶意超级用户在数据库恢复过程中注入并执行任意代码。该漏洞的相关安全公告提到,"PostgreSQL的pg_dump工具存在未受信任数据包含问题,源服务器的恶意超级用户可注入任意代码,这些代码将在恢复时以运行psql的客户端操作系统账户权限执行。"该漏洞影响使用纯格式转储时的pg_dump、pg_dumpall及pg_restore工具。
第三个漏洞CVE-2025-8715(CVSS评分8.8),影响PostgreSQL 13至17版本,问题根源在于换行符处理不当。具体而言,"PostgreSQL的pg_dump工具存在换行符未正确中和问题,源服务器用户可通过在精心构造的对象名称中嵌入psql元命令,注入任意代码……" 该漏洞不仅会导致恢复过程中执行任意代码,还可能助长针对恢复目标服务器的SQL注入攻击。该公告指出,尽管类似问题曾在CVE-2012-0868中被修复,但相关漏洞已在11.20版本中重新引入。
鉴于CVE-2025-8714和CVE-2025-8715的高危性质,强烈建议PostgreSQL用户立即升级。管理员应将系统修补至最新支持的发布版本,以防止数据泄露及可能危及生产环境的远程代码执行风险。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~