Avete aggiornato PostgreSQL ? Per sicurezza meglio farlo in fretta.

1

Non molto tempo fa vi abbiamo parlato dell’uscita del nuovo PostgreSQL 11, con notevoli miglioramenti di performance rispetto alle versioni precedenti.

Beh, a meno di un mese di distanza ecco che arriva il rilascio di PostgreSQL 11.1; ma aspettate, contemporaneamente gli antagonisti di MySQL forniscono anche aggiornamenti per le precedenti release, pubblicando le versioni 10.6, 9.6.11, 9.5.15, 9.4.20 e 9.3.25.

Ma per quale motivo questo blocco di update? Beh perchè, nonostante non se ne sia parlato molto se non al di fuori delle cerchie più ristrette di utenti, qualche giorno fa era uscita la CVE-2018-16850, dal testo abbastanza inquetante:

CVE-2018-16850: SQL injection in pg_upgrade and pg_dump, via CREATE TRIGGER … REFERENCING

Il problema era fondamentalmente un’SQL injection effettuabile mentre un amministratore ha in esecuzione i comandi pg_upgrade o pg_dump/pg_restore; soprattutto questi ultimi due sono particolarmente utilizzati per eseguire backup e restore degli schemi di PostgreSQL, quindi la possibilità che siano in esecuzione è parecchio elevata (o comunque, comune).

E’ vero che per poter eseguire questa injection era necessario che l’utente utilizzato per attaccare avesse le permission di CREATE o di TRIGGER almeno su uno schema; peccato che per default tutti gli utenti di PostgreSQL abbiano la permission CREATE sullo schema public, rendendo di fatto l’attacco eseguibile anche dall’utente meno privilegiato del database.

Se non avete ancora aggiornato la vostra installazione di PostgreSQL è quindi il momento di farlo, anche se utilizzate le due major precedenti 10.x e 9.x.

Ovviamente le nuove versioni portano con se anche bug fixing e miglioramenti, come specificato dalle note di rilascio, ma la sola soluzione a quel bug vale l’aggiornamento.

Viene fatto anche notare che la versione 9.3 del famoso database è scaduta, raggiungendo la data di End Of Life proprio ieri, 08 Novembre 2018.

Motivo in più per aggiornare ma… attenti mentre fate il dump del DB!

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.