微軟修補(bǔ)Azure PostgreSQL租戶隔離漏洞

微軟昨（4/28）日修補(bǔ)了Azure Database for PostgreSQL服務(wù)一項(xiàng)租戶隔離（Tenant isolation）漏洞，可讓攻擊者訪問(wèn)同一Azure區(qū)域上多個(gè)不同租戶（tenant）或賬號(hào)上的PostgreSQL數(shù)據(jù)庫(kù)。

這個(gè)問(wèn)題是由安全廠商Wiz Research發(fā)現(xiàn)并通報(bào)微軟。漏洞發(fā)生于Azure Database for PostgreSQL Flexible Server，廠商稱之為ExtraReplica，它實(shí)際是2項(xiàng)漏洞組成，一個(gè)是源自微軟近日為了強(qiáng)化功能而對(duì)PostgreSQL Flexible Server服務(wù)做的修改，導(dǎo)致權(quán)限升級(jí)；另一個(gè)則讓發(fā)派給Azure其他域名的憑證得以登錄PostgreSQL執(zhí)行實(shí)例，達(dá)到跨租戶（cross-tenant）訪問(wèn)的目的。成功開(kāi)采這項(xiàng)ExtraReplica漏洞的攻擊者，可復(fù)制并取得Azure PostgreSQL Flexible Server用戶數(shù)據(jù)庫(kù)的讀取權(quán)限。

所有設(shè)置公開(kāi)網(wǎng)絡(luò)連接的Flexible Server Postgres服務(wù)器都受這漏洞影響。激活VPN或安全網(wǎng)絡(luò)連接的環(huán)境則不受影響（不過(guò)這并非默認(rèn)）。此外，Azure Database for PostgreSQL Single Server用戶也未曝險(xiǎn)。

Wiz Research于今年1月通報(bào)微軟，微軟已更新Flexible Servers以解決這項(xiàng)漏洞。Azure用戶無(wú)需采取任何動(dòng)作。不過(guò)為了安全起見(jiàn)，微軟仍建議用戶在設(shè)置Flexible Server執(zhí)行實(shí)例時(shí)激活VPN等安全連接。

本月初AWS也修補(bǔ)了一項(xiàng)源于關(guān)系型數(shù)據(jù)庫(kù)云計(jì)算服務(wù)RDS for PostgreSQL第三方開(kāi)源擴(kuò)展程序，可導(dǎo)致Aurora數(shù)據(jù)庫(kù)內(nèi)容外泄的文件讀取漏洞。