当前位置: 首页 > news >正文

PostgreSQL pg_dump工具存在安全漏洞,可导致源数据库服务器的超级用户在客户端执行psql恢复操作时,触发任意代码执行HGVE-2025-E007

文章目录

  • 环境
  • BUG/漏洞编码
  • 症状
  • 触发条件
  • 解决方案

环境

系统平台:N/A
版本:9.0.4,9.0.3

BUG/漏洞编码

HGVE-2025-E007

症状

PostgreSQL的pg_dump工具存在不可信数据注入漏洞,允许源服务器的恶意超级用户通过psql元命令注入任意代码,在客户端使用psql恢复备份时以客户端操作系统账户权限执行命令。pg_dumpall工具同样受影响。当pg_restore用于生成纯文本格式转储时也存在此风险。该漏洞与MySQL的CVE-024-21096漏洞原理相似。PostgreSQL 17.6、16.10、15.14、14.119和13.22之前的版本受影响。

触发条件

恶意服务器可能会将psql元命令注入纯文本转储输出(即使用pg_dump --format=plain、pg_dumpall或者pg_restore --file创建的脚本)中,这些脚本会在运行psql的机器上执行恢复操作时被运行。

解决方案

整体修复方案:pg_dump导出时在导出的sql文件末尾添加校验,用psql恢复时对sql文件进行校验。

1.修复pg_dump工具

2.修复函数psql工具的HandleSlashCmds

3.修复函数exec_comma

补丁下载地址: 链接: https://pan.baidu.com/s/1uNtkjhbTnDTKW-X5CtZD6Q?pwd=eceb 提取码: eceb

http://www.cnnetsun.cn/news/3096691.html

相关文章:

  • 多模型 API 网关压测:并发、延迟与计费的三角平衡
  • 构建高效漏洞速查字典:一句话版本通报的设计与实战
  • 持续沉淀企业人才数据,让 AI 随组织发展不断适配专属管理逻辑
  • Shell脚本精读 · S06-03 | 条件与控制流综合:读 30 行脚本的判断链
  • 【GitHub】图片上传工具PicGo 深度技术解析
  • 【课程设计/毕业设计】基于 SpringBoot 的会议室线上报备与运维系统的设计与实现 基于 SpringBoot 的智能办公场地预约管理系统的设计与实现【附源码、数据库、万字文档】
  • 建站公司怎么推荐才靠谱?从需求清单、报价口径和交付物判断
  • 分布式系统关注点(8)——99%的人都能看懂的「熔断」以及最佳实践
  • 数据库架构演进——从“单间出租“到“合租公寓“
  • 通达信竣宝底部大阳启动量化选股与量化交易指标 大阳不破波浪掘金抓牛股主副图指标 平台突破指标公式
  • 内存是计算机的主存储器。内存为进程开辟出进程空间,让进程在其中保存数据。我将从内存的物理特性出发,深入到内存管理的细节,特别是了解虚拟内存和内存分页的概念。
  • 上门维修电脑的坑,消委会已经发出警示!这几点一定要注意
  • git 将一个本地文件夹初始化成git仓库并且推送到远端git仓库
  • 饲料颗粒机哪家技术强
  • 工程现场施工管理系统怎么选?落地避坑实用指南
  • Java计算机毕设之基于 SpringBoot 的应急物资储备与发放管理系统的设计与实现 基于 SpringBoot 的灾害应急物资供应链管理系统(完整前后端代码+说明文档+LW,调试定制等)
  • 手持Ultra1/S8/SE2的用户
  • WRF模拟全技术链实践暨Linux编译排错、FNL/ERA5驱动场处理、长时序模拟配置、下垫面改造与物理参数调整、Python诊断分析及可视化
  • 工业 AR 眼镜关键技术与主流技术路线分析
  • 深度解密 Linux 保留网段:127、10、172 背后的底层网络内核与现代架构智慧
  • 15-Vue3 性能优化与调试
  • Golang的CSP很酷?其实.NET也可以轻松完成
  • TLSF和伙伴系统融合算法实现
  • 机器学习模型生产化落地:从Notebook到稳定服务的五层加固
  • 基于鲸鱼优化算法(WOA)的路径规划附Matlab代码
  • 锂离子电池过压保护方案与BQ29200应用设计
  • 基于Matlab的车辆ASR驱动防滑转仿真模型(仿真+参考文献)
  • 矩阵正交化处理:提升循环模型噪声关联回忆性能,小改进带来大提升!
  • Java毕设项目: 基于 SpringBoot 的住院患者护理信息管理系统的设计与实现 基于 SpringBoot 的医院病房资源统筹管理系统(源码+文档,讲解、调试运行,定制等)
  • SQL Server数据库同步工具深度对比:6款方案实测与选型(含信创环境选型建议)