اخطار نسبت به صدمه پذیری PostgreSQL SQL injection
به گزارش ما دیجیتال، در تاریخ ۱۳ فوریه ی ۲۰۲۵ صدمه پذیری جدیدی با نام CVE-۲۰۲۵-۱۰۹۴ برای پایگاه داده ی PostgreSQL اعلام شد؛ صدمه پذیری ای که می تواند به دسترسی مهاجمان به کل دیتابیس و داده های آن منجر شود.
به گزارش ما دیجیتال به نقل از آروان کلاد، این صدمه پذیری را در کوتاهترین زمان شناسایی کرد و با استفاده از خصوصیت Automatic Update/Upgrade، بدون ایجاد اختلال در سرویس کاربران دیتابیس ابری این صدمه پذیری رفع شد.
این صدمه پذیری بر اساس این تصور اشتباه بود که «هنگامی که با استفاده از توابع PostgreSQL String Escaping مانند PQescapeString ورودی های یک کاربر (یا مهاجم) امن سازی شد دیگر امکان وقوع حملات SQL-Injection از این طریق وجود ندارد».
اما در این صدمه پذیری مشخص شد در حالتی که ورودی مورد نظر با استفاده از ابزار PSQL روی سرور اجرا شود این حملات هم چنان امکانپذیر و داده ها در خطر است.
ریشه ی این مشکل هم در نحوه ی برخورد توابع نام برده با کاراکترهای غیر مجاز UTF-۸ و هم چنین نحوه ی پردازش رشته بایت های غیر مجاز داخل این کاراکترها توسط ابزار PSQL قرار دارد، که مهاجم با استفاده از این دو مشکل می تواند حمله ای از نوع SQL-Injection انجام دهد.
هم چنین مهاجمی که از این حفره ی امنیتی استفاده می نماید می تواند با استفاده از توانایی های ابزار PSQL برای اجرای Meta-Command ها -که کامندهایی برای توسعه قابلیت های این ابزار هستند- به Arbitrary Code Execution (ACE) هم برسد. یکی از خطرناک ترین این کامندها، \ است که توانایی اجرای OS Shell Command ها را فراهم می آورد و به مهاجم امکان کنترل کامندهای اجرا شده از این طریق را هم می دهد؛ که این به معنای نفوذ و دسترسی در سطح سیستم عامل است.
چه کسانی تحت الشعاع قرار می گیرند؟
تمامی نسخه های پیش از PostgreSQL ۱۷.۳، ۱۶.۷، ۱۵.۱۱، ۱۴.۱۶، ۱۳.۱۹ تحت الشعاع این صدمه پذیری قرار می گیرند.
راه حل ها
۱-کاربرانی که از دیتابیس ابری آروان کلاد استفاده نمی کنند: برای حل این مشکل باید کدهای در ارتباط با استفاده از توابع PostgreSQL String Escaping را اصلاح کرده و از نحوه ی Encoding اطمینان پیدا کنند. چاره دیگر ارتقاء ورژن دیتابیس به یکی از ورژن های ۱۷.۳، ۱۶.۷، ۱۵.۱۱، ۱۴.۱۶، ۱۳.۱۹ است.
۲-کاربران دیتابیس ابری آروان کلاد: کاربران دیتابیس ابری آروان کلاد بدون انجام روش های بالا می توانند از این صدمه پذیری مصون بمانند. خصوصیت Automatic Update/Upgrade دیتابیس ابری آروان کلاد بدون هیچ گونه اختلال در عملکرد سرویس و ایجاد Downtime یا Data Loss بشکل خودکار بروزرسانی های مورد نظر را انجام می دهد.
در محصول دیتابیس ابری آروان کلاد، در تاریخ ۱۷/۰۲/۲۰۲۵ این بروزرسانی بشکل اتوماتیک انجام شده است. با عنایت به اهمیت بالای این صدمه پذیری، بعد از اعلام شناسایی آن، به سرعت مقدمات انجام این بروزرسانی فراهم و سپس انجام شد. دیتابیس ابری آروان کلاد با داشتن خصوصیت Automatic Update/Upgrade این امکان را برای کاربران فراهم نموده است که بدون احتیاج به داشتن دغدغه در ارتباط با آپدیت های مهم، بخصوص موارد مهم امنیتی، روی توسعهی کسب و کار خودشان تمرکز کنند. از مزیت های مهم Automatic Upgrade دیتابیس ابری آروان کلاد، انجام بروزرسانی بدون ایجاد اختلالی در سرویس است؛ به صورتی که Upgrade دیتابیس بدون Downtime، بدون Data Loss و هم چنین بدون احتیاج به مداخله ی کاربر صورت می گیرد.
منبع: ما دیجیتال
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب