丹·加西亚:EDB安全公告:多个PostgreSQL和EPAS漏洞
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
PostgreSQL和EnterpriseDB高级服务器发布了重要更新,以修复SQL注入和安全策略执行问题。EnterpriseDB高级服务器还存在8个新漏洞,包括劫持SECURITY DEFINER函数和过程、任意SQL执行、权限绕过和未经授权的数据删除。用户应立即修补他们的系统。更多信息可以在EDB安全网站上找到。
🎯
关键要点
-
PostgreSQL和EnterpriseDB高级服务器发布了重要更新,修复SQL注入和安全策略执行问题。
-
PostgreSQL发布了两个CVE,分别是CVE-2023-39417和CVE-2023-39418。
-
CVE-2023-39417涉及在扩展脚本中使用@extowner@、@extschema@等导致SQL注入的漏洞。
-
CVE-2023-39418涉及MERGE命令未能执行UPDATE或SELECT行安全策略的漏洞。
-
EnterpriseDB高级服务器发现8个新漏洞,包括SECURITY DEFINER函数劫持、任意SQL执行、权限绕过和未经授权的数据删除。
-
所有受影响的EnterpriseDB版本需立即修补,相关信息可在EDB安全网站找到。
-
EDB Postgres高级服务器的多个功能存在安全漏洞,允许用户提升权限或绕过授权。
-
EDB建议PostgreSQL社区和EPAS用户立即计划和修补系统至最新版本。
-
用户需使用与发布一起提供的补丁工具进行修补,并在更新后重启数据库。
-
有关更多信息,用户可通过支持门户或电子邮件联系技术支持。
🏷️
标签
➡️
