微软在一份安全报告中宣布,Azure数据库PostgreSQL通用服务器的多个重大漏洞最近刚刚被发现并修复。
正如BleepingComputer所指出的,这些漏洞可能允许恶意用户升级特权并访问买方。值得庆幸的是,在正确的漏洞发布之前,该漏洞并没有被用来攻击Azure前景,也没有获取任何信息,微软已经验证了这一点。
考虑到之前已经部署了超过30天的时间,Azure购物者不需要采取任何额外的行动来屏蔽他们的端点。
补丁部署
有了适应性服务器,Azure数据库for PostgreSQL的用户可以对他们的数据库进行更多的管理。然而,在这种情况下,Flexible Server为攻击提供了一个机会。
微软表示:“通过利用可适应服务器身份验证方法中的权限漏洞,具有破坏性的用户可以利用不恰当的锚定标准表达式绕过身份验证,进入其他客户的数据库。”
“48小时内(2022年1月13日)就缓解了。使用私有访问网络选项的使用者尚未发现此漏洞。Postgres的单独服务器呈现没有受到影响。”
到2月底,所有修复程序都已经部署完毕,微软继续解释道。
然而,该公司表示,在Azure虚拟网络(VNet)上部署通用PostgreSQL是明智的,因为它们提供了非公共的、安全的社区交互。
该公司报告称:“为了减少宣传,我们建议买家在设置通用服务器场景时允许个人网络获取。”
最初发现该漏洞的云稳定业务公司Wiz Analysis将其命名为ExtraReplica,并表示在跟踪云漏洞时遇到了一些麻烦。
“与其他云漏洞一样,这种担忧没有获得CVE标识符(与软件程序漏洞相反)。它没有记录或记录在任何数据库中,”它说。“缺乏这类数据库会削弱客户端检查、监控和响应云漏洞的能力。”
通过