هشدار نسبت به لطمه پذیری PostgreSQL SQL injection رمز من: در تاریخ 13 فوریه ی 2025 لطمه پذیری جدیدی با نام CVE-2025-1094 برای پایگاه داده ی PostgreSQL اعلام شد؛ لطمه پذیری ای که می تواند به دسترسی مهاجمان به کل دیتابیس و داده های آن منجر شود. به گزارش رمز من به نقل از آروان کلاد، این لطمه پذیری را در کمترین زمان شناسایی کرد و با بهره بردن از خاصیت Automatic Update/Upgrade، بدون ایجاد اختلال در سرویس کاربران دیتابیس ابری این لطمه پذیری رفع شد. این لطمه پذیری مبنی بر این تصور اشتباه بود که «هنگامی که با بهره گیری از توابع PostgreSQL String Escaping مانند PQescapeString ورودی های یک کاربر (یا مهاجم) امن سازی شد دیگر امکان وقوع حملات SQL-Injection از این راه وجود ندارد». اما در این لطمه پذیری مشخص شد در حالتی که ورودی مورد نظر با بهره گیری از ابزار PSQL روی سرور اجرا شود این حملات هم چنان ممکن و داده ها در خطر است. ریشه ی این مشکل نیز در نحوه ی برخورد توابع نام برده با کاراکترهای بدون مجوز UTF-۸ و هم چنین نحوه ی پردازش رشته بایت های بدون مجوز داخل این کاراکترها توسط ابزار PSQL قرار دارد، که مهاجم با بهره گیری از این دو مشکل می تواند حمله ای از نوع SQL-Injection انجام دهد. هم چنین مهاجمی که از این حفره ی امنیتی بهره می گیرد می تواند با بهره گیری از توانایی های ابزار PSQL برای اجرای Meta-Command ها -که کامندهایی برای بسط قابلیت های این ابزار هستند- به Arbitrary Code Execution (ACE) نیز نائل شود. یکی از خطرناک ترین این کامندها، \ است که توانایی اجرای OS Shell Command ها را فراهم می آورد و به مهاجم امکان کنترل کامندهای اجرا شده از این راه را نیز می دهد؛ که این به مفهوم نفوذ و دسترسی در سطح سیستم عامل است. چه کسانی تحت تأثیر قرار می گیرند؟ تمامی نسخه های پیش از PostgreSQL ۱۷.۳، ۱۶.۷، ۱۵.۱۱، ۱۴.۱۶، ۱۳.۱۹ تحت تأثیر این لطمه پذیری قرار می گیرند. راه حل ها ۱-کاربرانی که از دیتابیس ابری آروان کلاد استفاده نمی کنند: برای حل این مشکل باید کدهای مربوط به استفاده از توابع PostgreSQL String Escaping را اصلاح کرده و از نحوه ی Encoding اطمینان پیدا کنند. راهکار دیگر پیشرفت ورژن دیتابیس به یکی از ورژن های ۱۷.۳، ۱۶.۷، ۱۵.۱۱، ۱۴.۱۶، ۱۳.۱۹ است. ۲-کاربران دیتابیس ابری آروان کلاد: کاربران دیتابیس ابری آروان کلاد بدون انجام روش های بالا می توانند از این لطمه پذیری مصون بمانند. خاصیت Automatic Update/Upgrade دیتابیس ابری آروان کلاد بدون هیچ نوع اختلال در عملکرد سرویس و ایجاد Downtime یا Data Loss به صورت خودکار بروزرسانی های مورد نظر را انجام می دهد. در محصول دیتابیس ابری آروان کلاد، در تاریخ ۱۷/۰۲/۲۰۲۵ این بروزرسانی به صورت اتوماتیک انجام شده است. باتوجه به اهمیت بالای این لطمه پذیری، بعد از اعلام شناسایی آن، به سرعت مقدمات انجام این بروزرسانی فراهم و سپس انجام شد. دیتابیس ابری آروان کلاد با داشتن خاصیت Automatic Update/Upgrade این امکان را برای کاربران فراهم آورده است که بدون نیاز به داشتن دغدغه در ارتباط با آپدیت های مهم، خصوصاً موارد مهم امنیتی، روی توسعه کسب وکار خودشان تمرکز کنند. از مزیت های مهم Automatic Upgrade دیتابیس ابری آروان کلاد، انجام بروزرسانی بدون ایجاد اختلالی در سرویس است؛ بطوریکه Upgrade دیتابیس بدون Downtime، بدون Data Loss و هم چنین بدون نیاز به مداخله ی کاربر به انجام می رسد. منبع: ramzeman.ir 1403/12/03 11:54:44 5.0 / 5 22 تگهای خبر: امنیت , بروزرسانی , سرویس , كاربر اگر مطلب را پسندیدید لایک کنید (1) (0) تازه ترین مطالب مرتبط حضور همراه اول در نمایشگاه کار ایران فرصتی برای جذب استعدادهای جوان مرورگر فایرفاکس به هوش مصنوعی مجهز می شود فروش S25 جدید ترین پرچمدار سامسونگ در بازارگاه ایرانسل تفاهم نامه توسعه ترانزیت داده میان ایران و عمان به امضا رسید نظرات بینندگان در مورد این مطلب نظر شما در مورد این مطلب نام: ایمیل: نظر: سوال: = ۳ بعلاوه ۴