Pesquisadores de cibersegurança divulgaram uma falha de segurança de alta gravidade no sistema de banco de dados de código aberto PostgreSQL, que poderia permitir que usuários sem privilégios alterassem variáveis de ambiente, potencialmente levando à execução de código ou vazamento de informações.
A vulnerabilidade, rastreada como CVE-2024-10979, possui um escore CVSS de 8.8.
Variáveis de ambiente são valores definidos pelo usuário que permitem a um programa buscar dinamicamente diversos tipos de informações, como chaves de acesso e caminhos de instalação de software, durante a execução, sem a necessidade de codificar essas informações. Em certos sistemas operacionais, elas são inicializadas durante a fase de inicialização.
"O controle incorreto de variáveis de ambiente no PostgreSQL PL/Perl permite que um usuário de banco de dados sem privilégios modifique variáveis de ambiente sensíveis do processo (por exemplo, PATH)", disse o PostgreSQL em um aviso divulgado na quinta-feira.
"Isso frequentemente é suficiente para habilitar a execução arbitrária de código, mesmo que o atacante não tenha um usuário do sistema operacional do servidor de banco de dados."
A falha foi corrigida nas versões do PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, e 12.21. Os pesquisadores da Varonis, Tal Peleg e Coby Abrams, que descobriram o problema, disseram que ele poderia levar a "problemas de segurança graves", dependendo do cenário de ataque.
Isso inclui, mas não se limita a, a execução de código arbitrário através da modificação de variáveis de ambiente como PATH, ou a extração de informações valiosas na máquina ao executar consultas maliciosas.
Detalhes adicionais da vulnerabilidade estão sendo atualmente retidos para dar aos usuários tempo suficiente para aplicar as correções. Também é aconselhável restringir as extensões permitidas.
"Por exemplo, limitando a permissão de CREATE EXTENSIONS para extensões específicas e, adicionalmente, configurando o parâmetro shared_preload_libraries para carregar apenas as extensões necessárias, limitando os papéis de criar funções segundo o princípio do menor privilégio ao restringir a permissão de CREATE FUNCTION," disse a Varonis.
Via - THN
Comments