PostgreSQL Küresel Geliştirme Grubu, PostgreSQL’in desteklenen tüm sürümleri için kritik bir güvenlik güncellemesi yayınladı.
PostgreSQL’in desteklenen tüm sürümleri 17.1, 16.5, 15.9, 14.14, 13.17 ve 12.21’i içerir.
Bu güvenlik güncelleştirmesi dört güvenlik açığını ve son aylarda bildirilen 35’ten fazla hatayı giderir.
Bu güvenlik güncellemesinde giderilen güvenlik açıkları “CVE-2024-10976”, “CVE-2024-10977”, “CVE-2024-10978” ve “CVE-2024-10979” olarak izlenmektedir.
Üstelik PostgreSQL geliştiricileri bu güncellemeyi PostgreSQL 12’nin son sürümü olarak duyurdular ve bu sürüm PostgreSQL 12 desteğinin sonunu işaret ediyor.
Güvenlik Açıkları
CVE-2024-10976: Satır Güvenliği Güvenlik Açığı
Bu güvenlik açığı, CVSS v3.1 Temel Puanı 4,2 olan PostgreSQL’in 12 ila 17 arasındaki sürümlerini etkilemektedir. Yeniden kullanılan sorguların, satır güvenliğiyle tabloların eksik takibi nedeniyle potansiyel olarak istenmeyen satırları görüntülemesine veya değiştirmesine olanak tanır.
CVE-2024-10977: libpq Hata Mesajı Saklama
12 ila 17 arasındaki sürümleri etkileyen bu güvenlik açığının CVSS v3.1 Temel Puanı 3.1’dir. Potansiyel olarak kötü amaçlı bir sunucunun, geçerli sorgu sonuçlarıyla karıştırılabilecek libpq uygulamalarına rastgele NUL olmayan baytlar göndermesine olanak tanır.
CVE-2024-10978: Kullanıcı Kimliği Sıfırlama Sorunu
CVSS v3.1 Temel Puanı 4.2 olan bu güvenlik açığı, 12 ila 17 arasındaki sürümleri etkiler. ROLE SET veya OTURUM YETKİSİNİ AYARLA kullanılırken yanlış ayrıcalık atamalarına yol açarak daha az ayrıcalıklı kullanıcıların yetkisiz verilere erişmesine olanak tanıyabilir.
CVE-2024-10979: PL/Perl Ortam Değişkeni Güvenlik Açığı
Bu kritik güvenlik açığı, CVSS v3.1 Temel Puanı 8,8 olan 12 ila 17 arasındaki sürümleri etkilemektedir. Ayrıcalıksız veritabanı kullanıcılarının hassas süreç ortamı değişkenlerini değiştirmesine olanak tanır ve potansiyel olarak rastgele kod yürütülmesine olanak tanır.
Güncelleme, aşağıdaki gibi sorunları gideren 35’ten fazla hata düzeltmesi içerir:
- Yabancı anahtar kısıtlamalarıyla bölüm ekleme ve ayırma
- Harmanlama sağlayıcı sorunları
- Sorgu planlayıcı iyileştirmeleri
- İşlem taahhütlerindeki yarış koşulları
- Mantıksal kod çözme belleği tüketimi
- JIT, ARM sistemlerinde çöküyor
Ek olarak sürüm, saat dilimi veri dosyalarını tzdata sürümü 2024b’ye güncelleyerek, Sistem-V uyumluluk bölgesi adlarını ve çeşitli ülkeler için geçmiş düzeltmeleri etkiler.
Kullanıcılar bu güncellemeyi PostgreSQL’i kapatıp ikili dosyalarını güncelleyerek uygulayabilirler. Ancak bazı senaryolar ek adımlar gerektirir: –
- ATTACH/DETACH PARTITION komutlarından etkilenen yabancı anahtar kısıtlamalarına sahip bölümlenmiş tablolar için manuel kısıtlama ayarlamaları gerekli olabilir.
- Belirli yerel ayarlara sahip PostgreSQL 17.0 kullanıcılarının, REINDEX INDEX CONCURRENTLY komutunu kullanarak metin tabanlı dizinleri yeniden oluşturmaları gerekir.
Ayrıntılı yükseltme talimatları ve güncelleme sonrası olası adımlar için sürüm notlarını incelemek, özellikle önceki güncellemeleri atlayan kullanıcılar için çok önemlidir.
PostgreSQL 12’yi üretim ortamlarında çalıştıran kullanıcıların, sürekli güvenlik ve hata düzeltmeleri sağlamak için daha yeni, desteklenen bir sürüme yükseltmeleri önemle tavsiye edilir.
Sonuç olarak, bu kapsamlı güvenlik güncellemesi PostgreSQL Küresel Geliştirme Grubunun güvenli ve güvenilir bir veritabanı yönetim sistemi sürdürme konusundaki kararlılığının altını çiziyor.
Kullanıcıların, olası güvenlik risklerini azaltmak ve en son iyileştirmelerden yararlanmak için bu güncelleştirmeyi derhal uygulamaları önerilir.