29 подписчиков
Уязвимость Microsoft Azure делает базы данных PostgreSQL доступными для других клиентов
Компания Microsoft сообщила, что устранила пару проблем с базой данных Azure для гибкого сервера PostgreSQL, которые могли привести к несанкционированному доступу к базе данных между учетными записями в регионе.
В сообщении Microsoft Security Response Center говорится:
«Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов».
То есть успешное использование критических уязвимостей могло позволить злоумышленнику получить несанкционированный доступ для чтения к базам данных PostgreSQL других клиентов, эффективно обходя изоляцию арендаторов.
Представители Windows описали уязвимость системы безопасности как воздействующую на экземпляры PostgreSQL Flexible Server, развернутые с использованием сети общего доступа. Но подчеркнули, что нет доказательств активного использования уязвимости и доступа к данным клиентов.
Около минуты
8 мая 2022