2022年5月12日,PostgreSQL 全球开发组向社区发布了新的更新,解决了上个季度披露的 50 多个报告的错误。此版本中包含对新披露的安全漏洞CVE-2022-1552的关键修复。使用版本 10-14 的组织最有可能受到影响,并且通用漏洞评分系统 (CVSS) 评级为 8.8,这值得立即关注。这篇文章将帮助您在 10 分钟内了解该漏洞并评估它是否会影响您的环境。最后,我们还将为您和您组织的安全团队提供一些缓解选项。
了解漏洞
如官方安全公告中所述,此 CVE 影响 Postgres 的核心服务器组件,影响可追溯到版本 10 的构建。
正如经验丰富的数据库管理员所知,Postgres 具有围绕拥有数据库对象(例如表)的用户的数据库身份构造。与这些对象相关联的是权限,这些权限有 SELECT、INSERT、UPDATE 或 CREATE 等类型。数据库管理员通过角色分配数据库用户帐户权限,这些角色对某些数据库对象具有范围访问权限。此方法的目标是确保用户帐户具有完成其所需操作所需的最低可能访问权限 - 也称为“最低权限访问范围的帐户”。此访问模型中内置的假设是与关系枚举和运行函数相关的权限验证数据库用户是否具有执行操作的适当权限。
报告 CVE-2022-1552 的 Alexander Lakhin 发现基本授权过程存在缺陷,允许一组操作以超级用户身份运行。虽然许多受影响的命令都有授权检查,但它们是在代码执行后应用的,因此无法提供对操作的预期控制。
评估环境
CVE-2022-1552 的漏洞验证过程相当简单;条件如下:
- 在最近 5 个主要版本中,Postgres 的次要版本早于 14.3、13.7、12.11、11.16 和 10.21
- 数据库有一个不受信任的用户有权在至少一个模式中创建非临时对象,这可以是任何模式。
可用的漏洞缓解措施
在确定环境受到影响后,请查看以下缓解方法并确定其中一个或多个路径是否有意义。在某些情况下,无法立即升级数据库,了解其他缓解安全控制措施可能有助于评估这种暴露的直接风险。
最明显的缓解措施是升级包含 5 月 12 日发布的最新修复程序的 Postgres 版本。EDB Postgres Advanced Server 的客户可以更新到要修补的最新版本。联系 EDB 支持以获取更多信息,或联系 EDB 专业服务以获取解决方法的帮助。
愿意接受临时但相当快速的环境性能下降的客户可以选择禁用自动清理并避免在具有包含表达式或 WHERE 子句的索引的表上手动运行 REINDEX、CREATE INDEX、REFRESH MATERIALIZED VIEW 和 CLUSTER,同时防止创建带有表达式或 WHERE 子句的新索引。这不是一个明智的长期禁用这些永久或持续时间长度的方法。此外,还建议不要恢复 pg-dump 输出。
如果无法采取预防措施,检测日志控制提供了一个机会来捕获受感染数据库用户的滥用行为。pgAudit 可用于捕获异常帐户活动以及上述事件。但是,要知道,在某些环境中,事务量可能太大,SIEM 无法经济高效地存储和处理遥测数据。对数据库的性能影响是某些环境的另一个考虑因素;此选项可能不适用于所有对象,但如果我们将此日志记录限制为易受攻击的索引,则它可能是可行的。
如果在计划和执行升级时环境需要维护易受攻击的版本,请考虑以下因素。通常在披露此类漏洞期间,通常会忽略可以消除一些直接压力的安全层。下面的项目符号旨在突出已实施控制之间的极端情况。在你的思考过程中使用这些作为指南。
- 数据库是在平面网络上还是在具有最低权限定义的入口和出口的分段网络中?
- 是否有 100 多个数据库帐户被各种应用程序和商业智能工具使用,或者仅适用于少数管理良好的应用程序?
- 如果用户帐户仅适用于托管应用程序,是否使用安全配置管理底层主机或容器并使用安全监控来检测危害?或者数据库和应用程序是否在很大程度上不受管理的单个服务器上?
- 网络是否具有行为监控功能,异常流量模式可以识别容量变化,或者环境是否位于 DigitalOcean 中的一个小水滴上?
虽然这些只是几个示例,涵盖了控制域的子集,但请逐步检查您环境的控制并校准此 CVE 是否使您高于或低于您的风险偏好。
结论
虽然每个组织或 Postgres 用户都有不同的风险驱动因素和偏好,但 CVSS 评级为 8.8 的漏洞永远不应被忽视。了解漏洞如何为攻击者提供机会有助于确定您的缓解策略。了解您的环境和环境以及控制的设计方式将有助于指导风险管理对话,并可能为管理员提供执行安全升级所需的喘息空间。
文章来源:https://www.enterprisedb.com/blog/least-privileged-user-vulnerability-identified-postgres-cve-2022-1552
