セキュリティ会社のWizは、オープンソースのPostgreSQLプラグインに関連する脆弱性をAlibaba Cloudに開示しました。これにより、ユーザー定義関数を呼び出すことで、データベースに対するユーザーの特権が引き上げられます。 ユーザーがプラグインを操作できるPostgreSQLデータベースにアクセスできる場合、攻撃者はこの脆弱性を悪用する可能性があります。 Wizがセキュリティテストを実施すると、セキュリティシステムが状況を通知し、問題に対処するために即座に行動を起こしました。 影響を受けるすべての製品の脆弱性は完全に修復されました。
影響を受ける製品
ApsaraDB RDS for PostgreSQL
AnalyticDB for PostgreSQL
PolarDB for PostgreSQLおよびPolarDB for Oracle
影響を受けるすべての製品を更新して脆弱性を修正しました。 顧客側で操作は必要ありません。 この脆弱性は、実際のシナリオで悪用されたことはありません。
承認
脆弱性を開示したウィズを認めたいと思います。 Alibaba CloudはWizと緊密に連携して、クラウド上のユーザーにより優れたセキュリティを提供していました。
この脆弱性の開発についてフォローアップします。 詳細またはサポートが必要な場合は、Alibaba Cloudテクニカルサポートにお問い合わせください。