Síntesis
PostgreSQL Global Development Group ha publicado actualizaciones de seguridad para resolver 4 vulnerabilidades, incluida una de gravedad «alta» en PostgreSQL PL/Perl, un lenguaje de procedimientos que permite escribir funciones y procedimientos en PostgreSQL utilizando el lenguaje de programación Perl.
Esta vulnerabilidad podría ser aprovechada por un usuario malintencionado para modificar las variables de entorno del sistema de destino con el fin de ejecutar código arbitrario.
Riesgo
Impacto estimado de la limitación en la comunidad de referencia: ALTO/NARANJA (65,12/100) 1.
Tipología
- Remote Code Execution
Productos y versiones afectados
PostgreSQL,
- 17.x, versiones anteriores a 17.1
- 16.x, versiones anteriores a 16.5
- 15.x, versiones anteriores a 15.9
- 14.x, versiones anteriores a 14.14
- 13.x, versiones anteriores a 13.17
- 12.x, versiones anteriores a 12.21
Acciones de mitigación
De acuerdo con las declaraciones del proveedor, le recomendamos actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad en la sección Referencias.
Cabe señalar que para todas las versiones de PostgreSQL 12.x, a partir del 14 de noviembre de 2024, el proveedor no lanzará más soluciones alternativas ni parches considerando la fecha de fin de soporte (EOL).
Identificadores únicos de debilidad
Referencias
https://www.postgresql.org/about/news/postgresql-171-165-159-1414-1317-and-1221-released-2955
https://www.postgresql.org/support/security/CVE-2024-10979
1 Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
