ニュース
PostgreSQL PL/Perlに深刻な脆弱性 直ちに更新を:セキュリティニュースアラート
PostgreSQLに重大な脆弱性「CVE-2024-10979」があることが分かった。環境変数の制御不備による脆弱性で、これを悪用すると任意のコード実行が可能とされている。
Varonisは2024年11月15日(現地時間)、リレーショナルデータベース管理システム「PostgreSQL」に深刻な脆弱(ぜいじゃく)性「CVE-2024-10979」が存在すると伝えた。
同脆弱性は攻撃者がPostgreSQLセッションプロセスで任意の環境変数を設定できる点に起因しており、適切な環境制御が実施されていないシステムに深刻なリスクをもたらす可能性がある。
PostgreSQL PL/Perlにセキュリティリスク、直ちに対策を
CVE-2024-10979はPostgreSQLの言語拡張の一つであるPL/Perlにおける環境変数の不適切な制御が原因とされている。この脆弱性が悪用された場合、攻撃者にシステムの環境変数(PATHなど)が変更され、最終的にサーバ上で任意のコードが実行されてしまう。また、クエリを実行してデータベースから詳細な情報が窃取されてしまう可能性もある。PostgreSQLの公式評価ではCVE-2024-10979の共通脆弱性評価システム(CVSS)のスコア値は8.8と評価されている。
影響を受けるPostgreSQLのバージョンは以下の通りだ。
- PostgreSQL 17.1より前のバージョン
- PostgreSQL 16.5より前のバージョン
- PostgreSQL 15.9より前のバージョン
- PostgreSQL 14.14より前のバージョン
- PostgreSQL 13.17より前のバージョン
- PostgreSQL 12.21より前のバージョン
修正されたバージョンは以下の通りだ。
- PostgreSQL 17.1およびこれ以降のバージョン
- PostgreSQL 16.5およびこれ以降のバージョン
- PostgreSQL 15.9およびこれ以降のバージョン
- PostgreSQL 14.14およびこれ以降のバージョン
- PostgreSQL 13.17およびこれ以降のバージョン
- PostgreSQL 12.21およびこれ以降のバージョン
CVE-2024-10979のセキュリティ対策としてPostgreSQLを最新バージョンに更新することが強く推奨されている。また不要な拡張機能を無効にして許可される拡張機能を最小限に抑えるといった対策も勧められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
セキュリティ運用は手綱を握れ リクルートSOCリーダーが語るマネージドサービスの本質
セキュリティ人材が不足する昨今、マネージドサービスをいかにうまく活用して負担を低減させるかがセキュリティ組織の重要なテーマだ。リクルートのSOCリーダーが任せる業務/自組織でやるべき業務の基準を語った。
結局、攻撃側と防御側のどちらが有利なの? 有識者が語る「防御側の強み」
サイバーセキュリティの世界では「『攻撃側』と『防御側』のどちらが有利か?」という話題がしばしば議論に上る。生成AIの登場によって、攻撃側がより有利になっているという意見もあるが有識者はどう考えているのか。
Google Playの審査をかいくぐるトロイの木馬に要注意 合計200万回ダウンロード
Cybersecurity Newsは2024年11月12日(現地時間)、Google Playから配布された複数のアプリにトロイの木馬「Android.FakeApp」の亜種が含まれていたと報じた。危険なアプリの一覧も明らかになっている。