PostgreSQL 闢謠存在任意程式碼執行漏洞：消息不實

• 2020 年 1 月 20 日
• 筆記

近期在互聯網媒體上流傳 PostgreSQL 存在任意程式碼執行的漏洞：

擁有『pg_read_server_files』許可權的攻擊者可利用此漏洞獲取超級用戶許可權，執行任意系統命令。

針對此言論，PostgreSQL 官方在2019年4月4日發表聲明如下：

互聯網媒體上報導的有關 PostgreSQL 方面的安全漏洞 CVE-2019-9193，PostgreSQL 安全團隊強調這不是一個安全漏洞， 我們認為創建這個 CVE-2019-9193 就是個錯誤，而且已經和 CVE-2019-9193 的報告者聯繫，調查為什麼會創建這個條目。 COPY .. PROGRAM 功能明確規定，只能被授予超級用戶許可權、或是默認 pg_execute_server_program 角色的資料庫用戶來執行。根據設計，此功能允許被授予超級用戶或 pg_execute_server_program 的用戶作為 PostgreSQL 伺服器運行的作業系統用戶(通常是「postgres」)執行操作。CVE 中提到的默認角色 pg_read_server_files 和 pg_write_server_files 不會授予資料庫用戶使用 COPY .. PROGRAM 的許可權。 根據設計，資料庫超級用戶與運行資料庫服務所在的作業系統的用戶之間不存在不同的安全邊界，另外 PostgreSQL 伺服器不允許作為作業系統超級用戶（例如「root」）運行。PostgreSQL 9.3 中添加的 COPY .. PROGRAM 的功能並未改變上述設計原則，只是在現有的安全邊界內添加了一個功能。 我們鼓勵 PostgreSQL 的所有用戶遵循最佳實踐方案，即永遠不要向遠程用戶或其他不受信任的用戶授予超級用戶的訪問許可權。這是系統管理中應遵循的安全操作標準，對於資料庫管理也需要遵循。 如果您對此有更多疑問，我們誠邀您通過社區官網與工作人員取得聯繫。

社區公告鏈接：https://www.postgresql.org/about/news/1935/