- NewsBTC
VIVA – PostgreSQL Security Team membantah software open source PostgreSQL telah mengalami kerentanan keamanan atau vulnerability. Mereka meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193, merupakan sebuah kekeliruan.
Sebagai informasi, seperti dikutip dari TechCrunch, pada Februari 2019, seorang peretas atau hacker yang pernah mencuri ratusan juta data pengguna, yang terdiri atas nama, email dan password, dari 16 situs kini beraksi kembali. Korbannya adalah delapan situs lain dengan 127 juta data pengguna.
Hacker ini sebelumnya menjual data-data hasil pencurian tersebut di marketplace dark web dengan harga US$20 ribu. Nah, 6 dari 16 situs yang diserang itu menggunakan software back-end database PostgreSQL.
Sang hacker sukses mengeksploitasi bug tersebut, sekaligus menyimpan database ke dalam sebuah file dan kemudian mengunduhnya.
Dalam situs resminya, Postgresql.org, Rabu, 10 April 2019, PostgreSQL Security Team menyebut pada registrasi CVE-2019-9193 dijelaskan bahwa fitur 'Copy To/From Program' yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan ‘superuser’ database di dalam grup ‘pg_read_server_files’ bisa mengeksekusi perintah sistem operasi.
Disebutkan pula bahwa fitur ini telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.
Fitur 'Copy To/From Program' secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai ‘superuser’ atau peran default ‘pg_execute_server_program’.
PostgreSQL Security Team juga menuturkan fitur tersebut memang dirancang untuk mengizinkan ‘superuser’ atau ‘pg-execute_server_program’ untuk bertindak sebagai pengguna sistem operasi, di mana server PostgreSQL berjalan yang pada umumnya sebagai pengguna 'postgres'.
Peran default pada ‘pg_read_server_files’ dan ‘pg_write_server_files’ yang disebutkan didalam registrasi CVE tidak mengizinkan pengguna database untuk menggunakan fitur 'Copy To/From Program'.
Secara desain, tidak ada batasan keamanan antara ‘superuser’ database dengan ‘user’ sistem operasi di mana PostgreSQL dijalankan. Dengan demikian, server PostgreSQL tidak diizinkan untuk dijalankan sebagai ‘superuser’.
Menurut Kepala Eksekutif Equnix Business Solutions, Julyanto Sutandang, apa yang diklaim sebagai kerentanan keamanan ini mirip seperti saat login sebagai superuser atau root pada sistem Unix, di mana hacker bisa mengedit dan membuat file, serta menjalankan perintah sebagai root.
“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya. Jadi tidak ada kerentanan,” ungkapnya, lewat keterangan tertulis.
Ia juga mengingatkan kepada semua pengguna PostgreSQL untuk mengikuti praktik terbaik, yaitu tidak pernah memberikan hak akses ‘superuser’ untuk akses secara jarak jauh, atau kepada pihak tidak dikenal.
'Ini merupakan prosedur operasional standard keamanan yang seharusnya dilaksanakan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database," Julyanto.
Sementara itu, PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut. (ann)
