Amazon Linux 2 PostgreSQL安全漏洞详解:授权缺失与整数溢出风险

本文详细解读了Amazon Linux 2中PostgreSQL的两个关键安全漏洞(CVE-2025-12817和CVE-2025-12818),涉及授权缺失导致的拒绝服务攻击和整数溢出引发的内存越界写入问题,并提供了修复方法和受影响版本列表。

ALAS2POSTGRESQL14-2025-021

Amazon Linux 2 安全公告:ALAS2POSTGRESQL14-2025-021

公告发布日期: 2025-12-08 公告更新日期: 2025-12-08

严重等级:

参考链接: CVE-2025-12817 CVE-2025-12818

关于 Amazon Linux ALAS/CVE 严重等级的常见问题

问题概述:

CVE-2025-12817: PostgreSQL 的 CREATE STATISTICS 命令存在授权缺失问题,允许表所有者通过在任何模式中创建同名统计信息,对其他使用 CREATE STATISTICS 的用户发起拒绝服务攻击。随后,拥有 CREATE 权限的用户尝试创建相同名称的统计信息时将会失败。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前的版本均受影响。

CVE-2025-12818: PostgreSQL libpq 客户端库的多个函数中存在整数回绕问题,应用程序输入提供者或网络对等方可能利用此问题导致 libpq 分配的内存空间不足,并造成数百兆字节的越界写入。这会导致使用 libpq 的应用程序发生段错误。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前的版本均受影响。

受影响包: postgresql

注意: 此公告适用于 Amazon Linux 2 - Postgresql14 Extra。访问此页面以了解更多关于 Amazon Linux 2 (AL2) Extras 的信息,以及此常见问题解答部分以了解 AL2 Core 和 AL2 Extras 公告之间的区别。

问题修复: 运行 yum update postgresqlyum update --advisory ALAS2POSTGRESQL14-2025-021 来更新您的系统。

新软件包:

aarch64 架构:

  • postgresql-14.20-1.amzn2.0.1.aarch64
  • postgresql-server-14.20-1.amzn2.0.1.aarch64
  • postgresql-docs-14.20-1.amzn2.0.1.aarch64
  • postgresql-contrib-14.20-1.amzn2.0.1.aarch64
  • postgresql-server-devel-14.20-1.amzn2.0.1.aarch64
  • postgresql-static-14.20-1.amzn2.0.1.aarch64
  • postgresql-upgrade-14.20-1.amzn2.0.1.aarch64
  • postgresql-upgrade-devel-14.20-1.amzn2.0.1.aarch64
  • postgresql-plperl-14.20-1.amzn2.0.1.aarch64
  • postgresql-plpython3-14.20-1.amzn2.0.1.aarch64
  • postgresql-pltcl-14.20-1.amzn2.0.1.aarch64
  • postgresql-test-14.20-1.amzn2.0.1.aarch64
  • postgresql-llvmjit-14.20-1.amzn2.0.1.aarch64
  • postgresql-debuginfo-14.20-1.amzn2.0.1.aarch64

noarch 架构:

  • postgresql-test-rpm-macros-14.20-1.amzn2.0.1.noarch

src 架构:

  • postgresql-14.20-1.amzn2.0.1.src

x86_64 架构:

  • postgresql-14.20-1.amzn2.0.1.x86_64
  • postgresql-server-14.20-1.amzn2.0.1.x86_64
  • postgresql-docs-14.20-1.amzn2.0.1.x86_64
  • postgresql-contrib-14.20-1.amzn2.0.1.x86_64
  • postgresql-server-devel-14.20-1.amzn2.0.1.x86_64
  • postgresql-static-14.20-1.amzn2.0.1.x86_64
  • postgresql-upgrade-14.20-1.amzn2.0.1.x86_64
  • postgresql-upgrade-devel-14.20-1.amzn2.0.1.x86_64
  • postgresql-plperl-14.20-1.amzn2.0.1.x86_64
  • postgresql-plpython3-14.20-1.amzn2.0.1.x86_64
  • postgresql-pltcl-14.20-1.amzn2.0.1.x86_64
  • postgresql-test-14.20-1.amzn2.0.1.x86_64
  • postgresql-llvmjit-14.20-1.amzn2.0.1.x86_64
  • postgresql-debuginfo-14.20-1.amzn2.0.1.x86_64

附加参考 发行说明: Amazon Linux 2 发行说明 Red Hat: CVE-2025-12817, CVE-2025-12818 Mitre: CVE-2025-12817, CVE-2025-12818

CVE 描述版权 © 2023 The MITRE Corporation CVE 描述版权 © 2023 Red Hat, Inc. 根据 https://access.redhat.com/security/data,RedHat 的 CVE 报告采用 CC BY 4.0 许可协议授权。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次