Уязвимость Microsoft Azure делает базы данных PostgreSQL доступными для других клиентов

Компания Microsoft сообщила, что устранила пару проблем с базой данных Azure для гибкого сервера PostgreSQL, которые могли привести к несанкционированному доступу к базе данных между учетными записями в регионе.

В сообщении Microsoft Security Response Center говорится:

«Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов».

То есть успешное использование критических уязвимостей могло позволить злоумышленнику получить несанкционированный доступ для чтения к базам данных PostgreSQL других клиентов, эффективно обходя изоляцию арендаторов.

Представители Windows описали уязвимость системы безопасности как воздействующую на экземпляры PostgreSQL Flexible Server, развернутые с использованием сети общего доступа. Но подчеркнули, что нет доказательств активного использования уязвимости и доступа к данным клиентов.