PostgreSQL’de CVE-2024-7348 olarak tanımlanan kritik bir güvenlik açığı keşfedildi ve bu güvenlik açığı saldırganların keyfi SQL işlevlerini yürütmesine olanak tanıyor.
pg_dump yardımcı programındaki bu güvenlik açığı, özellikle süper kullanıcılar tarafından çalıştırıldığında önemli bir güvenlik riski oluşturuyor.
Kusur, pg_dump sürecindeki bir Zaman-kontrol-Kullanım-Zamanı (TOCTOU) yarış koşuludur. Bir saldırgan, başka bir ilişki türünü bir görünüm veya yabancı tablo ile değiştirerek bunu istismar edebilir ve bu da onların keyfi SQL işlevlerini yürütmelerine olanak tanır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Saldırının pg_dump başlangıcıyla aynı zamana denk gelmesi gerekiyor, ancak saldırgan açık bir işlem sürdürüyorsa yarış durumu kolayca kazanılabilir.
Etkilenen Sürümler
Güvenlik açığı 16.4, 15.8, 14.13, 13.16 ve 12.20 öncesi PostgreSQL sürümlerini etkiliyor. PostgreSQL projesi 8 Ağustos 2024 itibarıyla bu sürümler için yamalar yayınladı. Kullanıcıların riski azaltmak için sistemlerini bu sabit sürümlere güncellemeleri şiddetle tavsiye edilir.
Sürüm Bilgileri
| Etkilenen Sürüm | Sabitlendi | Düzeltme Yayımlandı |
| 16 | 16.4 | 8 Ağustos 2024 |
| 15 | 15.8 | 8 Ağustos 2024 |
| 14 | 14.13 | 8 Ağustos 2024 |
| 13 | 13.16 | 8 Ağustos 2024 |
| 12 | 12.20 | 8 Ağustos 2024 |
Güvenlik Değerlendirmesi
Güvenlik açığına CVSS 3.0 genel puanı olarak 8.8 verildi ve bu da yüksek bir önem seviyesini gösteriyor.
Çekirdek sunucu bileşeni etkileniyor ve vektörün AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H olarak tanımlanması, önemli gizlilik, bütünlük ve kullanılabilirlik etkileri potansiyelini vurguluyor.
PostgreSQL projesi bu sorunu bildirdiği için Noah Misch’e teşekkür eder. Yeni güvenlik açıkları keşfeden kullanıcıların PostgreSQL güvenlik ekibiyle iletişime geçmeleri önerilir. Güvenlikle ilgili olmayan hatalar için kullanıcılar Hata Bildir sayfasına başvurmalıdır.
Bu güvenlik açığı, hassas verileri korumak ve sistem bütünlüğünü sürdürmek için zamanında güncellemelerin ve dikkatli güvenlik uygulamalarının önemini vurguluyor.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download