مایکروسافت روز پنجشنبه فاش کرد که دو مشکل در پایگاهداده Azure برای سرور انعطافپذیر PostgreSQL کشف کرده است که میتواند منجر به دسترسی غیرمجاز به پایگاهداده بین حسابهای دیگر شود.
شرکت امنیت Wiz که این نقصها را کشف کرده است، این زنجیره آسیبپذیری را ExtraReplica نامید. مایکروسافت اعلام کرد که در 13 ژانویه 2022 این نقص را ظرف 48 ساعت پس از افشای آن برطرف کرده است.
بهرهبرداری موفقیتآمیز از این نقصهای مهم میتوانست مهاجم را قادر به خواندن غیرمجاز پایگاههای اطلاعاتی PostgreSQL سایر مشتریان کند.
نام ExtraReplica از آنجا ناشی میشود که این اکسپلویت از یک ویژگی PostgreSQL استفاده میکند که امکان کپی دادههای پایگاهداده از یک سرور به سرور دیگر را فراهم میکند و به عبارتی پایگاهداده را تکثیر میکند.
مایکروسافت این آسیبپذیری امنیتی را با عنوان تأثیرگذار بر سرورهای PostgreSQL که با استفاده از public access networking option مستقر شدهاند توصیف کرده است، اما تأکید کرد که شواهدی مبنی بر سوءاستفاده از این نقص کشف نکرده است و به دادههای مشتریان آسیبی نرسیده است.
MSRC گفت: به منظور به حداقل رساندن قرار گرفتن در معرض این آسیبپذیری، توصیه میکنیم که مشتریان هنگام تنظیم Flexible Server خود، private network access را فعال کنند.
شرکت امنیت Wiz که این نقصها را کشف کرده است، این زنجیره آسیبپذیری را ExtraReplica نامید. مایکروسافت اعلام کرد که در 13 ژانویه 2022 این نقص را ظرف 48 ساعت پس از افشای آن برطرف کرده است.
بهرهبرداری موفقیتآمیز از این نقصهای مهم میتوانست مهاجم را قادر به خواندن غیرمجاز پایگاههای اطلاعاتی PostgreSQL سایر مشتریان کند.
نام ExtraReplica از آنجا ناشی میشود که این اکسپلویت از یک ویژگی PostgreSQL استفاده میکند که امکان کپی دادههای پایگاهداده از یک سرور به سرور دیگر را فراهم میکند و به عبارتی پایگاهداده را تکثیر میکند.
مایکروسافت این آسیبپذیری امنیتی را با عنوان تأثیرگذار بر سرورهای PostgreSQL که با استفاده از public access networking option مستقر شدهاند توصیف کرده است، اما تأکید کرد که شواهدی مبنی بر سوءاستفاده از این نقص کشف نکرده است و به دادههای مشتریان آسیبی نرسیده است.
MSRC گفت: به منظور به حداقل رساندن قرار گرفتن در معرض این آسیبپذیری، توصیه میکنیم که مشتریان هنگام تنظیم Flexible Server خود، private network access را فعال کنند.