安全機構Wiz向阿里云通報了一個第三方PostgreSQL數據庫開源插件的權限提升漏洞,可能對云服務商部分云數據庫產品帶來潛在風險。當攻擊者擁有數據庫的登錄權限且該數據庫允許用戶操作插件時,攻擊者可以執行自定義函數,達成命令執行效果。在Wiz進行安全測試時,阿里云第一時間監測到了這一動作,并且采取了相應的安全措施。該漏洞在阿里云已經完成修復。
受影響范圍
云數據庫 RDS PostgreSQL版
AnalyticDB for PostgreSQL版
云原生數據庫PolarDB PostgreSQL版/兼容Oracle版
阿里云已經完成了受影響產品的修復升級,云上用戶無需進行任何操作。經排查,我們可以確認該漏洞沒有被實際利用過。
致謝
特此感謝Wiz報告此問題,通過與他們的密切合作,阿里云得以更好地保護我們的客戶。
阿里云將持續關注后續進展,如您需要更多詳細信息或其他幫助,請聯系阿里云客服咨詢。
文檔內容是否對您有幫助?