操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2024-3557)

摘要:

postgresql security update

安全等级: High

公告ID: KylinSec-SA-2024-3557

发布日期: 2024年8月16日

关联CVE: CVE-2024-7348

详细介绍

1. 漏洞描述

PostgreSQL 是一个高级的对象-关系数据库管理系统（DBMS），它几乎支持所有 SQL 构造（包括事务、子查询和用户定义的类型和函数）。postgresql 软件包包括您访问 PostgreSQL DBMS 服务器所需的客户端程序和库。

安全修复：

PostgreSQL 中的 pg_dump 存在时间检查到时间使用（TOCTOU）竞态条件，允许对象创建者以运行 pg_dump 的用户（通常是超级用户）身份执行任意 SQL 函数。攻击涉及将另一种关系类型替换为视图或外部表。攻击需要等待 pg_dump 开始，但如果攻击者保留了一个打开的事务，赢得竞态条件则很容易。此漏洞影响 PostgreSQL 16.4、15.8、14.13、13.16 和 12.20 之前的版本。（CVE-2024-7348）

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2024-7348	KY3.5.2	postgresql	Fixed

3. 影响组件

postgresql

4. 修复版本

KY3.5.2

软件名称	架构	版本号
postgresql-test-rpm-macros	noarch	13.16-1.ky3_5
postgresql	x86_64	13.16-1.ky3_5
postgresql-contrib	x86_64	13.16-1.ky3_5
postgresql-docs	x86_64	13.16-1.ky3_5
postgresql-llvmjit	x86_64	13.16-1.ky3_5
postgresql-plperl	x86_64	13.16-1.ky3_5
postgresql-plpython3	x86_64	13.16-1.ky3_5
postgresql-pltcl	x86_64	13.16-1.ky3_5
postgresql-private-devel	x86_64	13.16-1.ky3_5
postgresql-private-libs	x86_64	13.16-1.ky3_5
postgresql-server	x86_64	13.16-1.ky3_5
postgresql-server-devel	x86_64	13.16-1.ky3_5
postgresql-static	x86_64	13.16-1.ky3_5
postgresql-test	x86_64	13.16-1.ky3_5
postgresql	aarch64	13.16-1.ky3_5
postgresql-contrib	aarch64	13.16-1.ky3_5
postgresql-docs	aarch64	13.16-1.ky3_5
postgresql-llvmjit	aarch64	13.16-1.ky3_5
postgresql-plperl	aarch64	13.16-1.ky3_5
postgresql-plpython3	aarch64	13.16-1.ky3_5
postgresql-pltcl	aarch64	13.16-1.ky3_5
postgresql-private-devel	aarch64	13.16-1.ky3_5
postgresql-private-libs	aarch64	13.16-1.ky3_5
postgresql-server	aarch64	13.16-1.ky3_5
postgresql-server-devel	aarch64	13.16-1.ky3_5
postgresql-static	aarch64	13.16-1.ky3_5
postgresql-test	aarch64	13.16-1.ky3_5