प्लेटफ़ॉर्म
postgresql
घटक
edb-postgres-advanced-server
में ठीक किया गया
15.7.0
16.3.0
EDB Postgres Advanced Server (EPAS) में एक भूमिका अनुमति उल्लंघन भेद्यता (vulnerability) पाई गई है। इस भेद्यता के कारण, edbldr का उपयोग करने वाले उपयोगकर्ता pgreadserver_files से भूमिका अनुमतियों को दरकिनार कर सकते हैं। इससे कम विशेषाधिकार वाले उपयोगकर्ताओं को उन फ़ाइलों तक पहुंचने की अनुमति मिल सकती है जिन तक उनकी सामान्य परिस्थितियों में पहुंच नहीं होती। यह भेद्यता EPAS के संस्करण 15.0 से 16.3.0 तक के संस्करणों को प्रभावित करती है। संस्करण 16.3.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। एक हमलावर, जो पहले से ही सिस्टम पर कम विशेषाधिकारों वाला उपयोगकर्ता है, इस भेद्यता का फायदा उठाकर उन फ़ाइलों को पढ़ सकता है जिन्हें सामान्य रूप से उसकी अनुमति नहीं होगी। यह डेटा चोरी, सिस्टम में घुसपैठ, या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। इस भेद्यता का प्रभाव EPAS के उपयोग करने वाले संगठनों के लिए महत्वपूर्ण हो सकता है, खासकर यदि वे संवेदनशील डेटा संग्रहीत करते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को edbldr का उपयोग करने और pgreadserver_files से भूमिका अनुमतियों को दरकिनार करने में सक्षम होना होगा।
CVE-2024-4545 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसका शोषण होने की संभावना है। इस CVE को CISA KEV (Known Exploited Vulnerabilities) सूची में जोड़ा जाना बाकी है। सार्वजनिक रूप से उपलब्ध कोई प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही विकास होने की संभावना है। NVD (National Vulnerability Database) में 2024-05-09 को प्रकाशित किया गया।
Organizations running EnterpriseDB Postgres Advanced Server in production environments, particularly those utilizing edbldr for database administration tasks, are at risk. Environments with less stringent access controls and those running older, unpatched versions of EPAS are especially vulnerable. Shared hosting environments using EPAS also face increased risk due to the potential for cross-tenant exploitation.
• postgresql: Use psql -c "SELECT version();" to verify the EPAS version. If it's below 16.3.0, the system is vulnerable.
• linux / server: Examine auditd logs for edbldr process executions with unusual user contexts.
auditd -l | grep edbldr• generic web: Monitor access logs for requests to files that should be protected by role-based access controls, especially those accessed via edbldr.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-4545 को कम करने के लिए, EPAS को संस्करण 16.3.0 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो pgreadserver_files तक पहुंच को सीमित करने के लिए भूमिका अनुमतियों को कड़ाई से कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, edbldr के उपयोग को सीमित करने या उसे पूरी तरह से अक्षम करने पर विचार किया जा सकता है यदि इसकी आवश्यकता नहीं है। WAF (Web Application Firewall) नियमों को लागू किया जा सकता है ताकि edbldr के माध्यम से अनधिकृत फ़ाइल एक्सेस प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। सिस्टम लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice EDB Postgres Advanced Server a la versión 15.7.0 o superior, o a la versión 16.3.0 o superior. Esto corrige la vulnerabilidad de omisión de permisos de lectura de archivos. Consulte las notas de la versión de EnterpriseDB para obtener más detalles sobre la actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-4545 EDB Postgres Advanced Server (EPAS) में एक भेद्यता है जो edbldr के माध्यम से भूमिका अनुमति उल्लंघन की अनुमति देती है, जिससे कम विशेषाधिकार वाले उपयोगकर्ता उन फ़ाइलों तक पहुंच सकते हैं जिन तक उनकी सामान्य रूप से पहुंच नहीं होती।
यदि आप EPAS के संस्करण 15.0 से 16.3.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-4545 को ठीक करने के लिए, EPAS को संस्करण 16.3.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो भूमिका अनुमतियों को कड़ाई से कॉन्फ़िगर करें और edbldr के उपयोग को सीमित करें।
CVE-2024-4545 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसका शोषण होने की संभावना है।
EDB Postgres Advanced Server के लिए आधिकारिक सलाहकार EnterpriseDB की वेबसाइट पर उपलब्ध है: [https://www.enterprisedb.com/security/advisories](https://www.enterprisedb.com/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।