Уязвимости в Managed PostgreSQL
В статье рассказывается о потенциальных уязвимостях в managed-сервисах PostgreSQL, которые могут позволить злоумышленникам получить привилегии superuser в чужом облаке. Это становится возможным из-за внутренних механизмов базы данных. Компании, предоставляющие облачные сервисы, должны уделять повышенное внимание безопасности своих managed-сервисов.
Подробности
В managed-сервисах PostgreSQL обычно не предоставляются привилегии superuser клиенту, поскольку это позволяет ему выполнять привилегированные операции и потенциально выйти за пределы своей базы данных в операционную систему. Однако для обеспечения возможности выполнения привилегированных операций создают сервисы Control Plane и специальные ограниченные роли. Но даже этих мер может быть недостаточно, поскольку в PostgreSQL остаются места, где код от superuser выполняется в обход всей конструкции. В статье упоминаются два случая повышения привилегий у двух разных публичных облачных провайдеров. Оба вектора были закрыты к моменту публикации в апстриме PostgreSQL и у самих сервисов, а провайдеры были своевременно проинформированы.Что делать
Для обеспечения безопасности managed-сервисов PostgreSQL необходимо регулярно обновлять и проверять сервисы, а также реализовывать дополнительные меры безопасности, такие как Multi-Factor Authentication (MFA) и Transport Layer Security (TLS). Компании, предоставляющие облачные сервисы, должны уделять повышенное внимание безопасности своих сервисов и регулярно проверять системы на наличие уязвимостей. В заключении, безопасность managed-сервисов является важнейшей задачей для облачных провайдеров, а сервисы баз данных, такие как PostgreSQL, требуют особого внимания. Регулярные проверки и обновления, а также реализация дополнительных мер безопасности могут помочь предотвратить потенциальные уязвимости.Источник: Хабр — Информационная безопасность
