PostgreSQL Tegaskan CVE-2019-9193 Bukanlah Kerentanan Keamanan

alexametrics

PostgreSQL Tegaskan CVE-2019-9193 Bukanlah Kerentanan Keamanan

loading…

JAKARTA – Terkait dengan pemberitaan yang sudah beredar luas soal kerentanan keamanan pada PostgreSQL, PostgreSQL Security Team ingin menekankan bahwa hal tersebut bukanlah kerentanan keamanan.PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 Adalah sebuah kekeliruan. Hal tersebut berkemungkinan memengaruhi distro PostgreSQL lainnya. PostgreSQL Security Team sudah menghubungi pelapor untuk menginvestigasi problem tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur “COPY TO/FROM PROGRAM” yang tersedia pada PostgreSQL 9.3 sampai 11.2 memungkinkan ‘superuser’ database di dalam grup ‘pg_read_server_files’ dapat mengeksekusi perintah sistem operasi. Disebutkan pula bahwa fitur tersebut sudah diaktifkan secara default dan dapat disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

“Padahal yang terjadi ialah fitur yang dipermasalahkan tersebut cuma menjalankan fungsi selaku mestinya, tidak ada kerentanan,” ungkap Julyanto Sutandang, CEO PT. Equnix Business Solutions. Ia menambahkan bahwa apa yang diklaim selaku “kerentanan” tersebut mirip seperti waktu login selaku superuser atau root pada sistem Unix, Anda dapat mengedit dan membikin file serta menjalankan perintah selaku root.

Fitur “COPY TO/FROM PROGRAM” tersebut secara terang mengumumkan cuma dapat dieksekusi oleh user database yang sudah memperoleh peran selaku ‘superuser’ atau peran default ‘pg_execute_server_program’. Fitur tersebut sungguh didesain untuk mengijinkan ‘superuser’ atau ‘pg-execute_server_program’ untuk bertindak selaku user sistem operasi di mana server PostgreSQL berjalan yang pada umumnya selaku user “postgres”. Peran default pada ‘pg_read_server_files’ dan ‘pg_write_server_files’ yang disebutkan didalam registrasi CVE tidak mengijinkan user database untuk mempergunakan fitur “COPY TO/FROM PROGRAM”.

Secara desain, tidak ada batasan keamanan antara ‘superuser’ database dengan ‘pengguna’ sistem operasi di mana PostgreSQL dijalankan. Dengan sedemikian, server PostgreSQL tidak diijinkan untuk dijalankan selaku ‘superuser’ dari sistem operasi (“root”). Fitur “COPY TO/FROM PROGRAM

ditambahkan dalam PostgreSQL 9.3 tidak merubah apapun yang disebutkan di atas, tetapi menambahkan perintah baru dalam lingkup keamanan yang sudah tersedia sebelumnya.

PostgreSQL Security Team Memperingatkan seluruh user PostgreSQL untuk ikut praktik the best, yaitu tidak pernah memberikan hak akses ‘superuser’ untuk akses secara jarak jauh, atau untuk pihak tidak dikenal. Hal tersebut Adalah prosedur operasional standar keamanan yang semestinya Dilakukan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database.

(wbs)

by Ahmad Fawas

You might like

About the Author: Ahmad Fawas

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *