网络安全研究人员披露了 PostgreSQL 开源数据库系统中的一个高严重性安全漏洞，该漏洞可能允许非特权用户更改环境变量，并可能导致代码执行或信息泄露。

该漏洞的编号为CVE-2024-10979，CVSS 评分为 8.8。

环境变量是用户定义的值，可让程序在运行时动态获取各种信息，例如访问密钥和软件安装路径，而无需对其进行硬编码。在某些操作系统中，它们在启动阶段初始化。

PostgreSQL在周四发布的一份公告中表示： “PostgreSQL PL/Perl 中对环境变量的错误控制允许非特权数据库用户更改敏感的进程环境变量（例如PATH）。”

“即使攻击者没有数据库服务器操作系统用户，这通常也足以实现任意代码执行。”

该漏洞已在 PostgreSQL 版本 17.1、16.5、15.9、14.14、13.17 和 12.21 中得到解决。发现该问题的 Varonis 研究人员 Tal Peleg 和 Coby Abrams表示，根据攻击场景，该漏洞可能会导致“严重的安全问题”。

这包括但不限于通过修改 PATH 等环境变量来执行任意代码，或通过运行恶意查询来提取机器上的有价值的信息。

目前尚未公布该漏洞的更多详细信息，以便用户有足够的时间修复。还建议用户限制允许的扩展。

“例如，将 CREATE EXTENSIONS 权限授予特定扩展，并另外设置 shared_preload_libraries 配置参数以仅加载所需的扩展，通过限制 CREATE FUNCTION 权限来限制角色按照最小特权原则创建函数，”Varonis 说。