安全機構Wiz向阿里雲通報了一個第三方PostgreSQL資料庫開源外掛程式的許可權提升漏洞,可能對雲端服務商部分雲資料庫產品帶來潛在風險。當攻擊者擁有資料庫的登入許可權且該資料庫允許使用者操作外掛程式時,攻擊者可以執行自訂函數,達成命令執行效果。在Wiz進行安全性測試時,阿里雲及時監測到了這一動作,並且採取了相應的安全措施。該漏洞在阿里雲已經完成修複。
受影響範圍
雲資料庫 RDS PostgreSQL版
AnalyticDB for PostgreSQL版
雲原生資料庫PolarDB PostgreSQL版/相容Oracle版
阿里雲已經完成了受影響產品的修複升級,雲上使用者無需進行任何操作。經排查,我們可以確認該漏洞沒有被實際利用過。
致謝
特此感謝Wiz報告此問題,通過與他們的密切合作,阿里雲得以更好地保護我們的客戶。
阿里雲將持續關注後續進展,如您需要更多詳細資料或其他協助,請聯絡阿里雲客服諮詢。