本文共 1033 字,大约阅读时间需要 3 分钟。
近期网络上流传着关于PostgreSQL存在任意代码执行漏洞的言论,这一问题引起了广泛关注。具体来看,拥有“pg_read_server_files”权限的攻击者是否能利用此漏洞获取超级用户权限并执行任意系统命令,这一说法是否属实?
2019年4月4日,PostgreSQL官方发布了正式声明,否认了上述安全漏洞的存在。他们强调,认为CVE-2019-9193的报告是错误的,并已与CVE报告者联系,以调查这一误报的原因。以下是声明的主要内容:
COPY...PROGRAM功能的设计原则
COPY...PROGRAM功能仅可由授予超级用户权限或“pg_execute_server_program”角色的数据库用户执行。根据设计,这一功能允许这些用户作为PostgreSQL服务器的操作系统用户(通常是“postgres”)执行操作。需要注意的是,默认角色“pg_read_server_files”和“pg_write_server_files”不会赋予数据库用户使用COPY...PROGRAM的权限。安全边界的设计
在PostgreSQL的设计中,数据库超级用户与运行数据库服务的操作系统用户之间并没有不同的安全边界。此外,PostgreSQL服务器本身不允许以操作系统超级用户(如“root”)的身份运行。这种设计原则在PostgreSQL 9.3中加入COPY...PROGRAM功能后,并未改变。最佳安全实践的建议
官方建议用户遵循最佳实践,即绝不应将超级用户权限授予远程用户或不可信的内部用户。这是数据库管理中的标准安全操作流程。进一步的技术支持
对于这一问题,PostgreSQL团队表示愿意通过社区官网与相关人员进行进一步交流和解答。针对CVE-2019-9193的报告,PostgreSQL团队表示,该CVE的创建是错误的,并已与报告者进行沟通,以了解这一错误报告的具体原因。他们正在仔细调查相关细节,以确保类似问题不再发生。
PostgreSQL安全团队否认了关于任意代码执行漏洞的说法,并强调COPY...PROGRAM功能的安全性。他们呼吁用户遵守最佳安全实践,妥善管理数据库权限。对于这一事件的进一步细节,建议关注PostgreSQL官方的声明和技术支持渠道。
转载地址:http://vixfk.baihongyu.com/