Windows 11’in Microsoft Mağazasını, Web Tarayıcınızda Kullanabilirsiniz

Sıradaki içerik:

Windows 11’in Microsoft Mağazasını, Web Tarayıcınızda Kullanabilirsiniz

e
sv

Microsoft Azure hatası, bir grup bulut veritabanını tamamen açık bıraktı

30 Nisan 2022 13:00

Microsoft, sorunu düzeltmek için bir yama yayınladı.

Microsoft, bir güvenlik danışma belgesinde PostgreSQL Esnek Sunucu için Azure Veritabanı’ndaki birden çok kritik güvenlik açığının yakın zamanda keşfedildiğini ve düzeltildiğini duyurdu.

BleepingComputer tarafından bildirildiği üzere, güvenlik açıkları kötü niyetli kullanıcıların ayrıcalıkları yükseltmesine ve müşteri veritabanlarına erişmesine izin verebilirdi. Neyse ki istismar, düzeltme yayınlanmadan önce Azure müşterilerine saldırmak için kullanılmadı ve hiçbir veri alınmadı. Bunu Microsoft onayladı.

Yamanın bir aydan daha uzun bir süre önce dağıtıldığı göz önüne alındığında, Azure müşterilerinin uç noktalarını korumak için ek bir adım atması gerekmez.

 

Dağıtılan düzeltmeler

Esnek Sunucu ile PostgreSQL için Azure Veritabanı kullanıcıları, veritabanları üzerinde daha fazla kontrole sahip olur. Ancak bu durum, Esnek Sunucu saldırı için bir açıklık yaratmıştı.

Microsoft, “Bir çoğaltma kullanıcısı için Esnek Sunucu kimlik doğrulama işleminde yükseltilmiş bir izin hatasından yararlanarak, kötü niyetli bir kullanıcı diğer müşterilerin veritabanlarına erişim elde etmek amacıyla kimlik doğrulamasını atlamak için uygun olmayan şekilde sabitlenmiş bir normal ifadeden yararlanabilir” dedi.

“Bu, 48 saat içinde (13 Ocak 2022’de) hafifletildi. Özel erişim ağı seçeneğini kullanan müşteriler bu güvenlik açığına maruz kalmadı.

Şubat ayının sonunda, tüm düzeltmeler dağıtıldı ve Microsoft açıklamaya devam etti.

Yine de şirket, özel ve güvenli ağ iletişimi sağladıkları için PostgreSQL esnek sunucularını Azure sanal ağlarına (VNet) yerleştirmenin akıllıca olacağını söyledi.

Şirket, “Tehlikeyi daha da en aza indirmek için, müşterilerin Esnek Sunucu örneklerini kurarken özel ağ erişimini etkinleştirmelerini öneriyoruz” dedi.

Hatayı ilk keşfeden bulut güvenlik şirketi Wiz Research, buna ExtraReplica adını verdi ve bulut güvenlik açıklarını takip etmenin bazı zorlukları olduğunu ekledi.

“Diğer bulut güvenlik açıklarında olduğu gibi, bu sorun bir CVE tanımlayıcısı almadı (yazılım güvenlik açıklarından farklı olarak). Herhangi bir veritabanında kaydedilmiyor veya belgelenmiyor” dedi. “Böyle bir veritabanının olmaması, müşterilerin bulut güvenlik açıklarını izleme, takip etme ve bunlara yanıt verme yeteneğini bozar.”

  • Site İçi Yorumlar

Bu yazı yorumlara kapatılmıştır.

error: Content is protected !!