中危 PostgreSQL 非所有者刷新物化视图同时执行任意 SQL (CVE-2024-0985)

CVE编号

CVE-2024-0985

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-02-08
漏洞描述
在PostgreSQL中,REFRESH MATERIALIZED VIEW CONCURRENTLY的late privilege drop漏洞允许对象创建者将任意SQL函数作为命令发起者执行。这个命令旨在将SQL函数以物化视图的所有者身份运行,从而安全地刷新不受信任的物化视图。受影响的目标是超级用户或攻击者角色之一的成员。此攻击需要诱使受害者在攻击者的物化视图上运行REFRESH MATERIALIZED VIEW CONCURRENTLY。作为利用此漏洞的一部分,攻击者创建使用CREATE RULE将内部构建的临时表转换为视图的函数。受影响的版本包括PostgreSQL 15.6、14.11、13.14和12.18之前的版本。目前已知的攻击方法在PostgreSQL 16及更高版本中不起作用。为了进行更深层次的防御,PostgreSQL 16.2增加了之前版本修复漏洞所使用的保护措施。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://lists.debian.org/debian-lts-announce/2024/03/msg00017.html
https://www.postgresql.org/support/security/CVE-2024-0985/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 postgresql postgresql * From
(including)
12.0 		Up to
(excluding)
12.18
运行在以下环境
应用 postgresql postgresql * From
(including)
13.0 		Up to
(excluding)
13.14
运行在以下环境
应用 postgresql postgresql * From
(including)
14.0 		Up to
(excluding)
14.11
运行在以下环境
应用 postgresql postgresql * From
(including)
15.0 		Up to
(excluding)
15.6
运行在以下环境
系统 alpine_3.16 postgresql12 * Up to
(excluding)
12.18-r0
运行在以下环境
系统 alpine_3.17 postgresql14 * Up to
(excluding)
14.11-r0
运行在以下环境
系统 alpine_3.18 postgresql12 * Up to
(excluding)
12.18-r0
运行在以下环境
系统 alpine_3.19 postgresql13 * Up to
(excluding)
16.2-r0
阿里云评分
5.8
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况