Microsoftは2022年4月28日(米国時間)、「Azure Database for PostgreSQL Flexible Server Privilege Escalation and Remote Code Execution - Microsoft Security Response Center」において、フル マネージドのデータベースサービス「Azure Database for PostgreSQL Flexible Server」に脆弱性が存在し、悪意あるユーザーが他のユーザーのデータベースにアクセスすることが可能になっていたと伝えた。この問題は既に修正されている。

  • Azure Database for PostgreSQL Flexible Server Privilege Escalation and Remote Code Execution – Microsoft Security Response Center

    Azure Database for PostgreSQL Flexible Server Privilege Escalation and Remote Code Execution – Microsoft Security Response Center

MicrosoftはWizから、Azure Database for PostgreSQL Flexible Serverにおいて認証されていないユーザーがアカウント範囲を超えてほかのデータベースにアクセス可能な状態にある報告を受けたと説明。Azure Database for PostgreSQL Flexible Serverのレプリケーションユーザー向け認証プロセスに特権昇格の脆弱性が存在しており、悪意あるユーザーは細工した正規表現を悪用して認証を回避し、他のユーザーのデータベースにアクセスできる状態にあったとしている。

Microsoftはこの報告を受けてから48時間以外に緩和策を取ったとしており、現在は問題は修正されている。プライベートアクセスネットワーキングオプションを使っていたユーザーはこの脆弱性の影響を受けていない。パブリックアクセスネットワーキングオプションを使用していたすべてのユーザーがこの脆弱性の影響を受けていたとされている。なお、Microsoftはこの脆弱性を悪用したデータベースへの不正アクセスは確認されていないと説明している。