安全机构Wiz向阿里云通报了一个第三方PostgreSQL数据库开源插件的权限提升漏洞,可能对云服务商部分云数据库产品带来潜在风险。当攻击者拥有数据库的登录权限且该数据库允许用户操作插件时,攻击者可以执行自定义函数,达成命令执行效果。在Wiz进行安全测试时,阿里云及时监测到了这一动作,并且采取了相应的安全措施。该漏洞在阿里云已经完成修复。
您可以加入RDS PostgreSQL插件交流钉钉群(103525002795),进行咨询、交流和反馈,获取更多关于插件的信息。
受影响范围
云数据库 RDS PostgreSQL版
AnalyticDB for PostgreSQL版
云原生数据库PolarDB PostgreSQL版/兼容Oracle版
阿里云已经完成了受影响产品的修复升级,云上用户无需进行任何操作。经排查,我们可以确认该漏洞没有被实际利用过。
致谢
特此感谢Wiz报告此问题,通过与他们的密切合作,阿里云得以更好地保护我们的客户。
阿里云将持续关注后续进展,如您需要更多详细信息或其他帮助,请联系阿里云客服咨询。
文档内容是否对您有帮助?