Falhas críticas são encontradas nos bancos de dados PostgreSQL do Alibaba Cloud
Uma cadeia de duas falhas críticas foi divulgada no ApsaraDB RDS para PostgreSQL e no AnalyticDB para PostgreSQL da Alibaba Cloud, que podem ser exploradas para violar as proteções de isolamento de inquilinos e acessar dados confidenciais pertencentes a outros clientes. As vulnerabilidades permitiram potencialmente acesso não autorizado aos bancos de dados PostgreSQL dos clientes do Alibaba Cloud e a capacidade de realizar um ataque à cadeia de suprimentos em ambos os serviços de banco de dados do Alibaba, levando a um RCE nos serviços de banco de dados.
Os problemas , apelidados de BrokenSesame , foram relatados ao Alibaba Cloud em dezembro de 2022, após a implementação de mitigações pela empresa em 12 de abril de 2023. Esta não é a primeira vez que vulnerabilidades do PostgreSQL são identificadas em serviços em nuvem. No ano passado, foram descobertos problemas semelhantes no Banco de Dados do Azure para PostgreSQL Flexible Server e no IBM Cloud Databases para PostgreSQL.
Fonte: BoletimSec
Publicado em: Cybersegurança