نقص امنیتی در PostgreSQL امکان سوءاستفاده هکرها از متغیرهای محیطی را فراهم می‌کند

0
27

پژوهشگران امنیت سایبری نقص امنیتی در PostgreSQL را افشا کرده‌اند که می‌تواند به کاربران غیرمجاز امکان تغییر متغیرهای محیطی را بدهد و احتمالاً به اجرای کدهای مخرب یا افشای اطلاعات منجر شود.

این آسیب‌پذیری که با شناسه CVE-2024-10979 ردیابی می‌شود، امتیاز CVSS برابر با ۸.۸ دارد که شدت بالایی محسوب می‌شود.

متغیرهای محیطی مقادیر تعریف‌ شده توسط کاربر هستند که به اپلیکیشن‌ها اجازه می‌دهند در زمان اجرا، اطلاعات مختلفی مانند کلیدهای دسترسی و مسیرهای نصب نرم‌افزار را به‌صورت پویا دریافت کنند. در برخی سیستم‌عامل‌ها، این متغیرها در مرحله راه‌اندازی سیستم مقداردهی می‌شوند.

طبق اعلامیه‌ای که PostgreSQL روز پنجشنبه منتشر کرد: «کنترل نادرست متغیرهای محیطی در PostgreSQL PL/Perl به یک کاربر غیرمجاز پایگاه داده اجازه می‌دهد متغیرهای حساس محیطی (مانند PATH) را تغییر دهد. این امر اغلب برای اجرای کدهای دلخواه کافی است، حتی اگر مهاجم دسترسی به حساب کاربری سرور پایگاه داده را نداشته باشد.»

این نقص در نسخه‌های 17.1، 16.5، 15.9، 14.14، 13.17 و 12.21 PostgreSQL برطرف شده است. پژوهشگران شرکت Varonis، تال پلگ و کوبی آبرامز، که این مشکل را کشف کرده‌اند، اظهار داشتند که این آسیب‌پذیری می‌تواند بسته به سناریوی حمله، منجر به «مشکلات شدید امنیتی» شود.

این مشکلات شامل مواردی مانند اجرای کدهای دلخواه با تغییر متغیرهای محیطی (مانند PATH) یا استخراج اطلاعات ارزشمند از دستگاه با اجرای کوئری‌های مخرب می‌شود.

جزئیات بیشتری از این آسیب‌پذیری در حال حاضر منتشر نشده است تا به کاربران زمان کافی برای اعمال اصلاحیه‌ها داده شود. همچنین توصیه شده است که دسترسی به افزونه‌های مجاز محدود شود.

Varonis پیشنهاد داده است:  «به عنوان مثال، اجازه ایجاد افزونه‌ها را فقط به افزونه‌های خاص محدود کنید و پارامتر پیکربندی shared_preload_libraries را برای بارگذاری فقط افزونه‌های موردنیاز تنظیم کنید. همچنین، با اعمال اصل حداقل دسترسی، اجازه ایجاد توابع (CREATE FUNCTION) را محدود کنید.»

منبع: https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html

مقاله قبلیقبل از خرید دو بار فکر کنید: قربانی کلاه‌برداری در تبلیغات شبکه‌های اجتماعی نشویم
مقاله بعدیویژگی Shielded Email گوگل : ایمیل‌های مستعار

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.