据shodan统计:大概有1.4万个PostgreSQL数据库受到CVE-2013-1899漏洞影响
对于这个漏洞有什么已知的可以开发利用的?
在这次发布的时候还没有已知的漏洞利用的消息。
在这次事件中谁比较容易受到攻击?
任何一个允许未受限的链接连入PostgreSQL数据库网络端口的系统,例如用户在一个公共云服务器上运行PostgreSQL,这是极易受到攻击的。那些服务器只允许经过加密的内部网络连入,或者拥有有效防火墙和其他网络接入限制措施的用户受到攻击的可能性最低。
这是一个很棒的数据库安全通用规则:不要让数据库服务器允许不信任的网络连接连入服务器端口,除非你必须这样做。这绝对是真的,尤其是像PostgreSQL这种数据库。
这是一个什么类型的漏洞?
这个漏洞允许用户使用命令行来开关PostgreSQL数据库的链接,这原本是使用在单用户模式的PostgreSQL数据库正常运行的情况下的恢复模式中的,现在可以在多用户模式中使用了。这将会对服务器造成极大的损害。
除这个漏洞之外还有其他可以利用的潜在漏洞吗?
1.服务提供商的主席Denial称:一个未经过身份验证的攻击者可能会利用这个漏洞,会导致PostgreSQL数据库服务器中数据目录的目标文件中附加大量错误信息。文件在这种情况下的损坏溃会导致数据库服务器的崩溃,并且无法重启。数据库服务器可以通过编辑文件信息、删除垃圾文档和恢复备份文件等方式进行修复。
2.配置设置权限升级:这次事件中,一个攻击者可以合法登录数据库服务器,然后数据库会被修改配置,导致这个用户的用户名和数据库名变成了相同的,这个漏洞还可能被用来配置一个超级用户权限的临时变量。
3.可执行任意代码:如果攻击者复合上述两个资格,那么就可以在文件系统中保存文件(甚至在tmp目录中),然后他们就可以利用漏洞去载入并执行任意的C语言代码了。
SELinux将会阻止这种特定类型的漏洞利用。
PostgreSQL的哪一个主版本受到了影响?
9.0、9.1和9.2版本。
8.4版本的用户并没受到影响。8.3版本和更早版本的用户也没有受到这次事件的影响,但为打安全漏洞补丁的系统仍然是脆弱的,但这些版本已经不再使用了。
用户怎样可以保护他们自己?
下载更新并尽快更新你所有的服务器。
确保PostgreSQL 没有对未信任的网络链接开放。
对使用你数据库的用户进行安全审计,确保当前所有的登录请求都有证书并且是合法的。
使用最新的安全框架,例如SELinux中带有SEPostgres扩展框架的PostgreSQL数据库,同样可以减少或消除PostgreSQL数据库安全漏洞的曝光和潜在的破坏。
谁可以获得这次漏洞的信息?
这次漏洞的详细信息最先披露给了我们的安全团队。
PostgreSQL全球发展组织(PGDG)已经有很多年了,有一个政策是授权构建PostgreSQL二进制代码包的工程师们可以将其发布给公众。使得PostgreSQL数据库流行起来的是其分布式服务的机制,我们正在修改这个策略以便为云服务提供商提供服务。这个新政策仍然正在修订当中,应该很快可以面世了。
漏洞是在何时被发现的?
这个漏洞最早在2013年3月12日被报给了PostgreSQL全球发展组织的安全团队。
多亏了红帽安全团队的鼎力帮助,我们在3月27日修复了CVE漏洞。
谁发现了这个漏洞?
NTT开源软件中心的Mitsumasa Kondo 和Kyotaro Horiguchi在进行一次安全审计时发现的。NTT是PostgreSQL的一个长期的贡献者。
这个漏洞是如何上报的?
Kondo-san和Horiguchi-san向security@postgresql.org发送了电子邮件。
如TechCrunch和Hacker News报道的那样,一些实体服务提供商,如云平台服务提供商Heroku,可以提前获得信息,为什么会发生这样的事?
Heroku可以同时下载更新漏洞补丁源代码和其他代码包。因为Heroku是极易受到攻击的,PostgreSQL内核团队曾与他们合作—去为他们的基础设施和实验环境的部署提供安全补丁。这对于验证安全更新是否破坏程序的功能性有很大的帮助。Heroku有与社区开发者密切合作和对PostgreSQL服务进行功能测试的历史。
在官方发布更新之前谁可以获得源代码?
我们有两个团队PGDG基础设施的运行者进行沟通。两个团队都可以提前获得源代码,以便对安全补丁进行分析,然后创建分布式的PostgreSQL的二进制文件包。这些是我们的安全团队和我们文件包的列表。在这两种情况下,这些组织可以提前获得源代码以便参与安全漏洞的补丁研发。
使用大范围部署货安全要求很高的程序的用户们如何提前获得安全信息呢?
这一次PostgreSQL项目并不允许不与安全漏洞货PostgreSQL文件包直接相关的用户提前获得安全信息、补丁包或者源代码。也许在将来我们会提供,但不是现在。
这次安全讨论会将软件知识库私有化吗?
鉴于这个漏洞的严重性,PostgreSQL内核团队经过审议,确定了这次安全威胁是由为维护而发布源代码引起的。
共享关于安全发布的信息的正常程序是在发布新版本之前的一周左右先发送一个开发者公告至pgsql-hackers@postgresql.org。Tom Lane这样做了。由于这次安全漏洞的严重性,我们同样给pgsql-hackers@postgresql.org发送了一份公告。我们这样做是因为我们想要给DBAs足够的时间去维护和升级。
PostgreSQL项目是如何进行组织的?
PostgreSQL全球发展组织是由志愿者运营的全球性组织。我们有一个由六人组成的内核团队,还有大量的主要贡献者和一些集中在社区的工作人员。点击这里查看贡献者的详情
新成员怎样加入安全团队?
两个组织的会员是由内核团队组成的。
PostgreSQL多久会发现一个安全漏洞?
我们每年会发现0-7个小的安全问题。这次漏洞是自2006年以来首次发现的大型漏洞:“绕过反斜杠进行编码“,同样会对MySQL和少数其他数据库系统造成影响。
谁在PostgreSQL系统中发现了漏洞?
我们有幸拥有大量的安全工程师来对PostgreSQL日常运作进行安全测试并且很负责任地对安全问题进行报告,以便对问题进行修复。
这次发布还包括什么其他的内容吗?
这次发布还更新了其他四个小的安全问题,这些小问题的详情可以在安全首页和发布公告上查看。它包括PostgreSQL系统大量的bug修复,最值得注意的两个修复是潜在的二进制数据复制的损坏问题。
相关文章:
剖析 PostgreSQL 的 CVE-2013-1899 安全漏洞 http://www.oschina.net/translate/dissecting-postgresql-cve-2013-1899
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/