PostgreSQL Tegaskan CVE-2019-9193 Bukanlah Kerentanan Keamanan

Rabu, 10 April 2019 - 13:28 WIB
PostgreSQL Tegaskan...
PostgreSQL Tegaskan CVE-2019-9193 Bukanlah Kerentanan Keamanan
A A A
JAKARTA - Terkait dengan pemberitaan yang telah beredar luas tentang kerentanan keamanan pada PostgreSQL, PostgreSQL Security Team ingin menegaskan bahwa hal tersebut bukanlah kerentanan keamanan.PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan. Hal tersebut berpotensi memengaruhi distro PostgreSQL lainnya. PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur “COPY TO/FROM PROGRAM” yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan ‘superuser’ database di dalam grup ‘pg_read_server_files’ bisa mengeksekusi perintah sistem operasi. Disebutkan pula bahwa fitur tersebut telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan,” ungkap Julyanto Sutandang, CEO PT. Equnix Business Solutions. Ia menambahkan bahwa apa yang diklaim sebagai “kerentanan” tersebut mirip seperti saat login sebagai superuser atau root pada sistem Unix, Anda bisa mengedit dan membuat file serta menjalankan perintah sebagai root.

Fitur “COPY TO/FROM PROGRAM” tersebut secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai ‘superuser’ atau peran default ‘pg_execute_server_program’. Fitur tersebut memang dirancang untuk mengijinkan ‘superuser’ atau ‘pg-execute_server_program’ untuk bertindak sebagai pengguna sistem operasi di mana server PostgreSQL berjalan yang pada umumnya sebagai pengguna “postgres”. Peran default pada ‘pg_read_server_files’ dan ‘pg_write_server_files’ yang disebutkan didalam registrasi CVE tidak mengijinkan pengguna database untuk menggunakan fitur “COPY TO/FROM PROGRAM”.

Secara desain, tidak ada batasan keamanan antara ‘superuser’ database dengan ‘user’ sistem operasi di mana PostgreSQL dijalankan. Dengan demikian, server PostgreSQL tidak diijinkan untuk dijalankan sebagai ‘superuser’ dari sistem operasi (“root”). Fitur “COPY TO/FROM PROGRAM

ditambahkan dalam PostgreSQL 9.3 tidak mengubah apapun yang disebutkan di atas, tetapi menambahkan perintah baru dalam lingkup keamanan yang telah tersedia sebelumnya.

PostgreSQL Security Team mengingatkan semua pengguna PostgreSQL untuk mengikuti praktik terbaik, yaitu tidak pernah memberikan hak akses ‘superuser’ untuk akses secara jarak jauh, atau kepada pihak tidak dikenal. Hal tersebut merupakan prosedur operasional standar keamanan yang seharusnya dilaksanakan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database.
(wbs)
Berita Terkait
Waspada Malware Berkedok...
Waspada Malware Berkedok Pengiriman Paket Palsu
Cara Menjaga Keamanan...
Cara Menjaga Keamanan Akses Jaringan Perusahaan saat WFH
Mengenal Eucalyptus,...
Mengenal Eucalyptus, Pohon Kayu Putih yang Kaya Manfaat Kesehatan
ESET Indonesia Ajak...
ESET Indonesia Ajak Bedakan Meeting Online dan Webinar
Mengenal Wabah Bubonic...
Mengenal Wabah Bubonic yang Terjadi di Mongolia, China
Pandemi COVID-19 Picu...
Pandemi COVID-19 Picu Serangan DDos Melonjak di Q1 2020
Berita Terkini
Membawa Udara Bersih...
Membawa Udara Bersih ke Dalam Rumah, Bentuk Kepedulian Terbaik Saat Polusi Melanda
23 jam yang lalu
Membongkar Otak Rudal...
Membongkar Otak Rudal Barracuda-500M yang Supercerdas
1 hari yang lalu
Anak Muda Bingung Pilih...
Anak Muda Bingung Pilih Kripto atau Saham? Begini Kata Para Praktisi
2 hari yang lalu
Samsung dan Google Mulai...
Samsung dan Google Mulai Serang Apple dengan Fitur Ini
2 hari yang lalu
Eropa Siap Masuk Arena...
Eropa Siap Masuk Arena Pertempuran Robot AI China dan AS
2 hari yang lalu
Kamera iPhone 17 Pro...
Kamera iPhone 17 Pro Max vs Samsung Galaxy S26, Pilih Mana?
2 hari yang lalu
Infografis
Amnesty Internasional...
Amnesty Internasional Tegaskan Israel Lakukan Genosida di Gaza
Copyright ©2026 SINDOnews.com All Rights Reserved