นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยช่องโหว่ร้ายแรงในระบบฐานข้อมูลโอเพนซอร์ส PostgreSQL ซึ่งอาจเปิดโอกาสให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าถึงสามารถปรับเปลี่ยนตัวแปร Environment Variables ได้ และอาจนำไปสู่การรันโค้ดหรือการรั่วไหลของข้อมูลสำคัญได้ ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2024-10979 โดยมีคะแนนความรุนแรง CVSS อยู่ที่ 8.8
ตัวแปร Environment Variables คือค่าที่กำหนดโดยผู้ใช้ ซึ่งช่วยให้โปรแกรมสามารถดึงข้อมูลต่าง ๆ เช่น Access Keys หรือตัวพาธ Software Installation Paths ได้แบบไดนามิกในระหว่างการทำงาน โดยไม่ต้องเขียนโค้ดค่าดังกล่าวไว้แบบตายตัว ในบางระบบปฏิบัติการ ตัวแปรเหล่านี้จะถูกกำหนดค่าในช่วงเริ่มต้นการทำงานของระบบ
“ในหลายกรณี การเปลี่ยนแปลงดังกล่าวเพียงพอที่จะเปิดช่องให้รันโค้ดที่เป็นอันตรายได้ แม้ว่าผู้โจมตีจะไม่มีบัญชีผู้ใช้ในระบบปฏิบัติการของเซิร์ฟเวอร์ฐานข้อมูลก็ตาม”
ช่องโหว่นี้ได้รับการแก้ไขใน PostgreSQL เวอร์ชัน 17.1, 16.5, 15.9, 14.14, 13.17 และ 12.21 โดยนักวิจัยจากบริษัท Varonis ชื่อ Tal Peleg และ Coby Abrams ซึ่งเป็นผู้ค้นพบปัญหานี้ พร้อมระบุว่า ช่องโหว่นี้อาจนำไปสู่ “ปัญหาด้านความปลอดภัยที่ร้ายแรง” ขึ้นอยู่กับลักษณะของการโจมตีที่เกิดขึ้น
อ่านเพิ่มเติมที่นี่ – THN
