一、漏洞概述
|
漏洞名稱 |
PgJDBC SQL 注入漏洞 |
||
|
CVE ID |
CVE-2024-1597 |
||
|
漏洞類型 |
SQL隱碼攻擊 |
發現時間 |
2024-02-21 |
|
漏洞評分 |
10.0 |
漏洞等級 |
嚴重 |
|
攻擊向量 |
網路 |
所需許可權 |
無 |
|
利用難度 |
低 |
使用者互動 |
無 |
|
PoC/EXP |
已公開 |
在野利用 |
未知 |
PostgreSQL JDBC Driver(簡稱 PgJDBC)允許Java 程序使用標準的、獨立於資料庫的 Java 程式碼連接到 PostgreSQL 資料庫。
2024年2月21日,啟明星辰VSRC監測到PgJDBC中存在一個SQL隱碼攻擊漏洞(CVE-2024-1597),該漏洞的CVSSv3評分為10.0。
PgJDBC受影響版本中,當使用簡單查詢模式(PreferQueryMode=SIMPLE,非默認模式)時存在SQL隱碼攻擊漏洞,當SQL綁定佔位符帶有(-)前綴時,負值的直接替換可能導致生成的標記被視為行註釋(如:SELECT -?, ?),如果第一個數值佔位符的參數值為負值(如 -1,-123等)且第二個字串值佔位符的參數中帶有換行符的惡意文字可能導致命令執行。威脅者可利用該漏洞執行SQL隱碼攻擊攻擊,成功利用該漏洞可能導致獲取敏感資訊或執行未授權操作等。
二、影響範圍
42.7.0=PgJDBC版本 42.7.2
42.6.0=PgJDBC版本 42.6.1
42.5.0=PgJDBC版本 42.5.5
42.4.0=PgJDBC版本 42.4.4
42.3.0=PgJDBC版本 42.3.9
PgJDBC版本 42.2.8
三、安全措施
3.1升級版本
目前官方已經發布了該漏洞的補丁,受影響使用者可應用補丁或待修復版本發佈時升級到PgJDBC版本42.7.2、42.6.1、42.5.5、42.4.4、42.3.9和 42.2.8。
下載連結:
https://jdbc.postgresql.org/download/
3.2臨時措施
暫無。
3.3通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4參考連結
https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56
https://nvd.nist.gov/vuln/detail/CVE-2024-1597