PostgreSQL Güvenlik Açığı Korsanları Keyfi SQL Fonksiyonlarını Çalıştırıyor


PostgreSQL’de CVE-2024-7348 olarak tanımlanan kritik bir güvenlik açığı keşfedildi ve bu güvenlik açığı saldırganların keyfi SQL işlevlerini yürütmesine olanak tanıyor.

pg_dump yardımcı programındaki bu güvenlik açığı, özellikle süper kullanıcılar tarafından çalıştırıldığında önemli bir güvenlik riski oluşturuyor.

Kusur, pg_dump sürecindeki bir Zaman-kontrol-Kullanım-Zamanı (TOCTOU) yarış koşuludur. Bir saldırgan, başka bir ilişki türünü bir görünüm veya yabancı tablo ile değiştirerek bunu istismar edebilir ve bu da onların keyfi SQL işlevlerini yürütmelerine olanak tanır.

Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access

Saldırının pg_dump başlangıcıyla aynı zamana denk gelmesi gerekiyor, ancak saldırgan açık bir işlem sürdürüyorsa yarış durumu kolayca kazanılabilir.

Etkilenen Sürümler

Güvenlik açığı 16.4, 15.8, 14.13, 13.16 ve 12.20 öncesi PostgreSQL sürümlerini etkiliyor. PostgreSQL projesi 8 Ağustos 2024 itibarıyla bu sürümler için yamalar yayınladı. Kullanıcıların riski azaltmak için sistemlerini bu sabit sürümlere güncellemeleri şiddetle tavsiye edilir.

Sürüm Bilgileri

Etkilenen Sürüm Sabitlendi Düzeltme Yayımlandı
16 16.4 8 Ağustos 2024
15 15.8 8 Ağustos 2024
14 14.13 8 Ağustos 2024
13 13.16 8 Ağustos 2024
12 12.20 8 Ağustos 2024

Güvenlik Değerlendirmesi

Güvenlik açığına CVSS 3.0 genel puanı olarak 8.8 verildi ve bu da yüksek bir önem seviyesini gösteriyor.

Çekirdek sunucu bileşeni etkileniyor ve vektörün AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H olarak tanımlanması, önemli gizlilik, bütünlük ve kullanılabilirlik etkileri potansiyelini vurguluyor.

PostgreSQL projesi bu sorunu bildirdiği için Noah Misch’e teşekkür eder. Yeni güvenlik açıkları keşfeden kullanıcıların PostgreSQL güvenlik ekibiyle iletişime geçmeleri önerilir. Güvenlikle ilgili olmayan hatalar için kullanıcılar Hata Bildir sayfasına başvurmalıdır.

Bu güvenlik açığı, hassas verileri korumak ve sistem bütünlüğünü sürdürmek için zamanında güncellemelerin ve dikkatli güvenlik uygulamalarının önemini vurguluyor.

Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download



Source link