Привет, Хабр. В этой статье ведущий аналитик СУБД Jatoba Андрей Никель на примерах разберет уязвимости СУБД PostgreSQL 2023 года: CVE-2023-2454 и CVE-2023-2455. Благодаря рекомендациям в материале вы сможете сами проверить, как они работают против нас. Собрать стенд на виртуалке, запустить PоstgreSQL в контейнере и посмотреть глазами пентестера, как это может происходить, а мы предложим несколько вариантов - как защищаться от этих неприятностей.
Внимание! Статья имеет ознакомительный характер и предназначена для специалистов по обеспечению информационной безопасности. Автор не несёт ответственности за любой вред, причиненный с применением изложенной информации. Помните, распространение вредоносных программ, нарушение работы систем и тайны переписки преследуются по закону.
Список сокращений
КОТ — компенсирующие организационно‑технические мероприятия
Слон — сленговое, устоявшееся в узких кругах именование СУБД PostgreSQL.
Мышь — сленг, который мы будем использовать в статье, заменяя им слово уязвимости.
______________
В мае 2023 появилась новость о двух новых уязвимостях, найденных в PostgreSQL.