کشف دو آسیب‌پذیری با شدت بالا در افزونه‌ی Anonymizer در PostgreSQL

کشف دو آسیب‌پذیری با شدت بالا در افزونه‌ی Anonymizer در PostgreSQL

تاریخ ایجاد

افزونه‌ PostgreSQL Anonymizer جهت پنهان کردن یا جایگزینی اطلاعات شناسایی شخصی یا داده‌های تجاری حساس از پایگاه داده PostgreSQL طراحی شده‌است.
دو آسیب‌پذیری جدید با شدت بالا در این افزونه شناسایی شده است که جزئیات هر یک به شرح  زیر ارائه می‌شود:

  • CVE-2024-2338: این آسیب‌پذیری که با شدت 8.0 ارزیابی شده است، یک نقص امنیتی تزریق کد SQL می‌باشد که هنگام فعال بودن قابلیت مخفی‌سازی فعال داده‌ها (dynamic masking)، به کاربری که جدول داده را در اختیار داشته ‌باشد امکان ارتقاء به سطحsuperuser  را می‌دهد. قابلیت مخفی‌سازی فعال داده‌ها از قرارگرفتن داده‌های حساس در معرض دید و دسترسی کاربران غیرمجاز جلوگیری می‌کند. PostgreSQL Anonymizer به کاربران این امکان را می‌دهد که برچسب‌های امنیتی دلخواه را روی جداول تنظیم کنند تا ستون‌های مشخص شده از دید دیگران پنهان شود. همچنین این نقص امنیتی به کاربر اجازه می‌دهد از پنهان کردن عبارات پیچیده، برای تزریق کد SQL بهره‌برداری کنند. 
  • CVE-2024-2339: این آسیب‌پذیری نیز که با شدت 8.0 ارزیابی شده است، یک نقص امنیتی تزریق کد SQL می‌باشد. کاربر می‌تواند یک تابع با قابلیت مخفی‌سازی داده‌ها را برای یک ستون از داده‌ها تعریف کند و کدهای مخرب را در آن تابع قرار دهد. هنگامی که یک کاربر با سطح دسترسی بالا، قابلیت مخفی کردن استاتیک را اعمال می‌کند، کد مخرب اجرا می‌شود و می‌تواند سطح دسترسی کاربر را ارتقاء دهد. اعمال قابلیت مخفی‌سازی استاتیک به این معنی است که داده‌های حساس در پایگاه‌داده اصلی بازنویسی یا حذف می‌شوند.

اگرچه گزینه limited_to_trusted_schemas در PostgreSQL Anonymizer v1.2 احتمال محافظت در برابر این خطر را فراهم می‌آورد، اما این محافظت نمی‌تواند به طور کامل قابل اطمینان باشد 

محصولات تحت تأثیر
نسخه 1.2 افزونه PostgreSQL Anonymizer  تحت تأثیر این آسیب‌پذیری‌ها قرار دارند.


توصیه‌های امنیتی 
این آسیب‌پذیری‌ها در نسخه‌ 1.3 این افزونه رفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به اعمال به‌روزرسانی مذکور، اقدام نمایند.


منابع  خبر:


[1]https://nvd.nist.gov/vuln/detail/CVE-2024-2338 
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-2339