漏洞背景与影响
\n
6月22日,Red Hat 发布安全更新,修复 PostgreSQL 中发现的执行任意代码漏洞。下文整理了漏洞要点与应对措施。
\n
漏洞详情
\n
来源: https://access.redhat.com/errata/RHSA-2022:5162
\n
CVE-2022-1552 CVSS 评分:8.8(高)
\n
在 PostgreSQL 中,特权用户在维护他人对象时,若安全检查不足,相关保护在 Autovacuum、Reindex、Create index、Refresh materialized view、Cluster、pg_amcheck 等操作中的触发时机过晚或缺失,可能导致攻击者在至少一个模式中创建非临时对象,并以超级用户权限执行任意 SQL 函数。
\n\n
该漏洞可能让攻击者获得在受影响数据库中的任意 SQL 代码执行能力。
\n\n
受影响的产品与版本
\n
- \n
- Red Hat Enterprise Linux Server 7 x86_64
- Red Hat Enterprise Linux Workstation 7 x86_64
- Red Hat Enterprise Linux Desktop 7 x86_64
- Red Hat Enterprise Linux for IBM z Systems 7 s390x
- Red Hat Enterprise Linux for Power, Big endian 7 pPC64
- Red Hat Enterprise Linux for Scientific Computing 7 x86_64
- Red Hat Enterprise Linux for Power, Little endian 7 pPC64le
\n
\n
\n
\n
\n
\n
\n
\n\n
解决方案与升级建议
\n
Red Hat 已为 Red Hat Enterprise Linux 7 提供 PostgreSQL 更新包。若 PostgreSQL 服务正在运行,更新后会自动重启服务。
\n
应用更新的详细步骤,请参考官方信息:
\n
https://access.redhat.com/articles/11258
\n\n
更多漏洞信息与升级,请访问官方安全更新页面:
\nhttps://access.redhat.com/security/security-updates/#/security-advisories
\n
