پژوهشگران امنیت سایبری نقص امنیتی در PostgreSQL را افشا کردهاند که میتواند به کاربران غیرمجاز امکان تغییر متغیرهای محیطی را بدهد و احتمالاً به اجرای کدهای مخرب یا افشای اطلاعات منجر شود.
این آسیبپذیری که با شناسه CVE-2024-10979 ردیابی میشود، امتیاز CVSS برابر با ۸.۸ دارد که شدت بالایی محسوب میشود.
متغیرهای محیطی مقادیر تعریف شده توسط کاربر هستند که به اپلیکیشنها اجازه میدهند در زمان اجرا، اطلاعات مختلفی مانند کلیدهای دسترسی و مسیرهای نصب نرمافزار را بهصورت پویا دریافت کنند. در برخی سیستمعاملها، این متغیرها در مرحله راهاندازی سیستم مقداردهی میشوند.
طبق اعلامیهای که PostgreSQL روز پنجشنبه منتشر کرد: «کنترل نادرست متغیرهای محیطی در PostgreSQL PL/Perl به یک کاربر غیرمجاز پایگاه داده اجازه میدهد متغیرهای حساس محیطی (مانند PATH) را تغییر دهد. این امر اغلب برای اجرای کدهای دلخواه کافی است، حتی اگر مهاجم دسترسی به حساب کاربری سرور پایگاه داده را نداشته باشد.»
این نقص در نسخههای 17.1، 16.5، 15.9، 14.14، 13.17 و 12.21 PostgreSQL برطرف شده است. پژوهشگران شرکت Varonis، تال پلگ و کوبی آبرامز، که این مشکل را کشف کردهاند، اظهار داشتند که این آسیبپذیری میتواند بسته به سناریوی حمله، منجر به «مشکلات شدید امنیتی» شود.
این مشکلات شامل مواردی مانند اجرای کدهای دلخواه با تغییر متغیرهای محیطی (مانند PATH) یا استخراج اطلاعات ارزشمند از دستگاه با اجرای کوئریهای مخرب میشود.
جزئیات بیشتری از این آسیبپذیری در حال حاضر منتشر نشده است تا به کاربران زمان کافی برای اعمال اصلاحیهها داده شود. همچنین توصیه شده است که دسترسی به افزونههای مجاز محدود شود.
Varonis پیشنهاد داده است: «به عنوان مثال، اجازه ایجاد افزونهها را فقط به افزونههای خاص محدود کنید و پارامتر پیکربندی shared_preload_libraries را برای بارگذاری فقط افزونههای موردنیاز تنظیم کنید. همچنین، با اعمال اصل حداقل دسترسی، اجازه ایجاد توابع (CREATE FUNCTION) را محدود کنید.»
منبع: https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html
