情資卡編號:
TCCY-RCDC-200-202502-0000065
事件主旨:
PostgreSQL高風險漏洞修補說明與建議
內容說明:
一、概述:
PostgreSQL全球開發小組於2025年2月13日發布更新版本17.3、16.7、15.11、14.16及13.19,修補一個高風險等級的SQL注入漏洞CVE-2025-1094(CVSSv3.1評分8.1),允許攻擊者可以利用互動式工具執行命令,進而實現執行任意程式碼。
該漏洞是由Rapid7於2025年1月27 日回報給PostgreSQL安全團隊,影響PostgreSQL互動式工具psql。Rapid7發現,在測試的每種情況下,成功利用CVE-2024-12356必須包括利用CVE-2025-1094才能實現遠端執行程式碼。儘管CVE-2024-12356已於2024年12月由BeyondTrust修補,成功阻止了對另一漏洞CVE-2024-12356及CVE-2025-1094的利用,但提供的更新程式並未解決CVE-2025-1094漏洞。
PostgreSQL說明libpq函數PQescapeLiteral()、PQescapeIdentifier()、 PQescapeString()及PQescapeStringConn()存在引用語法的不當中和(Improper neutralization),在某些使用模式下,允許資料庫輸入提供者實現SQL注入。具體來說,SQL注入需要應用程式使用函數建構對PostgreSQL互動式終端psql的輸入。類似地,當client_encoding為BIG5且server_encoding為EUC_TW或MULE_INTERNAL其中之一時,PostgreSQL命令列實用程式引用語法的不當中和,允許命令列引數來源實作SQL注入。
另外,PostgreSQL 12於2024年11月14日之後停止修補服務,建議使用單位應盡快評估更新至受支援的版本。
二、影響範圍:
PostgreSQL 17.2、16.6、15.10、14.15、13.18及之前的版本
風險等級:
2
建議措施:
PostgreSQL已發布更新版本17.3、16.7、15.11、14.16及13.19。其他相關說明,請參閱以下官方網址說明
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/