Security Flaw in PostgreSQL: CVE-2024-7348 Allows Arbitrary SQL Execution
2024/08/12 SecurityOnline — PostgreSQL プロジェクトはセキュリティ・アドバイザリを発行し、深刻な脆弱性 CVE-2024-7348 (CVSS:8.8) についてユーザーに警告している。この脆弱性により、pg_dump 操作中に任意の SQL が実行され、権限を昇格させた攻撃者に有害な関数の実行を許す可能性が生じる。
この脆弱性 CVE-2024-7348 は、PostgreSQL データベースのバックアップにおいて、一般的に使用される pg_dump ユーティリティ内の競合状態 (TOCTOU:Time-of-check Time-of-use) に起因している。データベース内にオブジェクトを作成する能力を持つ攻撃者が、この競合状態の脆弱性を悪用することで、pg_dump を実行しているユーザーとしての任意の SQL 関数の実行が可能になる。多くのケースにおいて、このユーザーはスーパーユーザーであるため、この脆弱性の潜在的な影響は特に深刻である。
攻撃シナリオは、pg_dump が実行されている時に、テーブルのような既存のリレーション・タイプを、ビューや外部テーブルに置き換えることから始まる。この狡猾な操作により、攻撃者は pg_dump を実行しているユーザーの権限で、悪意の SQL コードを挿入/実行することが可能になる。
影響を受けるバージョン
以下の Postgre SQLバージョンに、この脆弱性は存在する:
- PostgreSQL 16 before 16.4
- PostgreSQL 15 before 15.8
- PostgreSQL 14 before 14.13
- PostgreSQL 13 before 13.16
- PostgreSQL 12 before 12.20
早急な対応が必要
すべてのユーザーに対して強く推奨されるのは、PostgreSQL を最新のパッチ適用済みバージョンへと、ただちに更新することだ。すでに PostgreSQL プロジェクトは、すべてのサポート・バージョンに対する修正プログラムをリリースしている。
アップデートの詳細な手順については、PostgreSQL プロジェクトの Web サイトを参照してほしい。PostgreSQL の最新バージョンは、ココからダウンロードできる。
この PostgreSQL の脆弱性 CVE-2024-7348 ですが、CWE-367 (TOCTOUの競合状態) に分類されるものであり、リソースを使用する前のリソース状態のチェック後に、リソースの状態が変化し、チェックの結果が無効になる可能性が生じると、MITRE には記されています。ご利用のチームは、ご注意ください。よろしければ、PostgreSQL で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.