关于部分产品受PostgreSQL开源插件漏洞影响的声明

更新时间:

安全机构Wiz向阿里云通报了一个第三方PostgreSQL数据库开源插件的权限提升漏洞,可能对云服务商部分云数据库产品带来潜在风险。当攻击者拥有数据库的登录权限且该数据库允许用户操作插件时,攻击者可以执行自定义函数,达成命令执行效果。在Wiz进行安全测试时,阿里云监测到了这一动作,并且采取了相应的安全措施。该漏洞在阿里云已经完成修复。

受影响范围

  • 云数据库 RDS PostgreSQL版

  • AnalyticDB for PostgreSQL

  • 云原生数据库PolarDB PostgreSQL版/兼容Oracle版

阿里云已经完成了受影响产品的修复升级,云上用户无需进行任何操作。经排查,我们可以确认该漏洞没有被实际利用过。

致谢

特此感谢Wiz报告此问题,通过与他们的密切合作,阿里云得以更好地保护我们的客户。

阿里云将持续关注后续进展,如您需要更多详细信息或其他帮助,请联系阿里云客服咨询。