微软昨(4/28)日修补了azure database for postgresql服务一项租户隔离(tenant isolation)漏洞,可让攻击者访问同一azure区域上多个不同租户(tenant)或账号上的postgresql数据库。
这个问题是由安全厂商wiz research发现并通报微软。漏洞发生于azure database for postgresql flexible server,厂商称之为extrareplica,它实际是2项漏洞组成,一个是源自微软近日为了强化功能而对postgresql flexible server服务做的修改,导致权限升级;另一个则让发派给azure其他域名的凭证得以登录postgresql执行实例,达到跨租户(cross-tenant)访问的目的。成功开采这项extrareplica漏洞的攻击者,可复制并取得azure postgresql flexible server用户数据库的读取权限。
所有设置公开网络连接的flexible server postgres服务器都受这漏洞影响。激活vpn或安全网络连接的环境则不受影响(不过这并非默认)。此外,azure database for postgresql single server用户也未曝险。
wiz research于今年1月通报微软,微软已更新flexible servers以解决这项漏洞。azure用户无需采取任何动作。不过为了安全起见,微软仍建议用户在设置flexible server执行实例时激活vpn等安全连接。
本月初aws也修补了一项源于关系型数据库云计算服务rds for postgresql第三方开源扩展程序,可导致aurora数据库内容外泄的文件读取漏洞。