Peneliti keamanan siber telah mengungkapkan kelemahan keamanan tingkat tinggi dalam sistem basis data sumber terbuka PostgreSQL yang memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengubah variabel lingkungan, dan berpotensi menyebabkan eksekusi kode atau pengungkapan informasi.
Kerentanannya, dilacak sebagai CVE-2024-10979membawa skor CVSS 8,8.
Variabel lingkungan adalah nilai yang ditentukan pengguna yang memungkinkan program mengambil berbagai jenis informasi secara dinamis, seperti kunci akses dan jalur instalasi perangkat lunak, selama runtime tanpa harus melakukan hard-code pada informasi tersebut. Pada sistem operasi tertentu, mereka diinisialisasi pada fase startup.
“Kontrol variabel lingkungan yang salah di PostgreSQL PL/Perl memungkinkan pengguna database yang tidak memiliki hak istimewa untuk mengubah variabel lingkungan proses yang sensitif (misalnya, PATH),” kata PostgreSQL dalam sebuah penasehat yang dirilis Kamis.
“Seringkali hal ini cukup untuk mengaktifkan eksekusi kode arbitrer, bahkan jika penyerang tidak memiliki pengguna sistem operasi server database.”
Cacat ini telah diatasi di PostgreSQL versi 17.1, 16.5, 15.9, 14.14, 13.17, dan 12.21. Peneliti Varonis, Tal Peleg dan Coby Abrams, yang menemukan masalah ini, mengatakan hal itu dapat menyebabkan “masalah keamanan yang parah” tergantung pada skenario serangannya.
Hal ini mencakup, namun tidak terbatas pada, eksekusi kode arbitrer dengan memodifikasi variabel lingkungan seperti PATH, atau mengekstraksi informasi berharga pada mesin dengan menjalankan kueri berbahaya.
Detail tambahan mengenai kerentanan saat ini dirahasiakan agar pengguna memiliki cukup waktu untuk menerapkan perbaikan. Pengguna juga disarankan untuk membatasi ekstensi yang diizinkan.
“Misalnya, membatasi pemberian izin CREATE EXTENSIONS ke ekstensi tertentu dan juga mengatur parameter konfigurasi shared_preload_libraries untuk memuat hanya ekstensi yang diperlukan, membatasi peran pembuatan fungsi sesuai prinsip hak istimewa paling rendah dengan membatasi izin CREATE FUNCTION,” kata Varonis.