微软昨(4/28)日修补了Azure Database for PostgreSQL服务一项租户隔离(Tenant isolation)漏洞,可让攻击者访问同一Azure区域上多个不同租户(tenant)或账号上的PostgreSQL数据库。
这个问题是由安全厂商Wiz Research发现并通报微软。漏洞发生于Azure Database for PostgreSQL Flexible Server,厂商称之为ExtraReplica,它实际是2项漏洞组成,一个是源自微软近日为了强化功能而对PostgreSQL Flexible Server服务做的修改,导致权限升级;另一个则让发派给Azure其他域名的凭证得以登录PostgreSQL执行实例,达到跨租户(cross-tenant)访问的目的。成功开采这项ExtraReplica漏洞的攻击者,可复制并取得Azure PostgreSQL Flexible Server用户数据库的读取权限。
所有设置公开网络连接的Flexible Server Postgres服务器都受这漏洞影响。激活VPN或安全网络连接的环境则不受影响(不过这并非默认)。此外,Azure Database for PostgreSQL Single Server用户也未曝险。
Wiz Research于今年1月通报微软,微软已更新Flexible Servers以解决这项漏洞。Azure用户无需采取任何动作。不过为了安全起见,微软仍建议用户在设置Flexible Server执行实例时激活VPN等安全连接。
本月初AWS也修补了一项源于关系型数据库云计算服务RDS for PostgreSQL第三方开源扩展程序,可导致Aurora数据库内容外泄的文件读取漏洞。