PostgreSQL Pastikan CVE-2019-9193 Bukan Kerentanan Keamanan
INDEX

BISNIS-27 450.793 (-2.26)   |   COMPOSITE 5144.05 (-15.82)   |   DBX 982.653 (2.46)   |   I-GRADE 141.194 (-0.62)   |   IDX30 430.883 (-2.17)   |   IDX80 114.327 (-0.59)   |   IDXBUMN20 295.098 (-2.05)   |   IDXG30 119.385 (-0.73)   |   IDXHIDIV20 382.257 (-1.97)   |   IDXQ30 125.574 (-0.78)   |   IDXSMC-COM 221.901 (-0.43)   |   IDXSMC-LIQ 259.068 (-1.66)   |   IDXV30 107.621 (-1.14)   |   INFOBANK15 842.759 (-2.22)   |   Investor33 376.322 (-1.83)   |   ISSI 151.265 (-0.8)   |   JII 550.5 (-4.84)   |   JII70 187.95 (-1.54)   |   KOMPAS100 1026.39 (-5.14)   |   LQ45 794.213 (-3.71)   |   MBX 1420.94 (-5.57)   |   MNC36 281.737 (-1.36)   |   PEFINDO25 284.937 (-1.16)   |   SMInfra18 242.709 (-2.12)   |   SRI-KEHATI 318.969 (-1.57)   |  

PostgreSQL Pastikan CVE-2019-9193 Bukan Kerentanan Keamanan

Rabu, 10 April 2019 | 09:39 WIB
Oleh : Feriawan Hidayat / FER

Jakarta, Beritasatu.com - Terkait dengan pemberitaan yang telah beredar luas tentang kerentanan keamanan pada PostgreSQL, pihak PostgreSQL Security Team menegaskan hal tersebut bukanlah kerentanan keamanan.

PostgreSQL Security Team meyakini, registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan. Hal tersebut berpotensi memengaruhi distro PostgreSQL lainnya. PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur Copy to/From Program yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan superuser database di dalam grup pg_read_server_files bisa mengeksekusi perintah sistem operasi. Disebutkan pula bahwa fitur tersebut telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

"Padahal, yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan," ungkap CEO PT Equnix Business Solutions, Julyanto Sutandang, dalam siaran persnya yang diterima Beritasatu.com, di Jakarta, Rabu (10/4/2019).

Julyanto menambahkan, apa yang diklaim sebagai 'kerentanan' tersebut, mirip seperti saat login sebagai superuser atau root pada sistem Unix. "Anda bisa mengedit dan membuat file serta menjalankan perintah sebagai root," terang Julyanto.

Fitur Copy to/From Program tersebut, secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai superuser atau peran default pg_execute_server_program. Fitur tersebut memang dirancang untuk mengizinkan superuser atau pg-execute_server_program untuk bertindak sebagai pengguna sistem operasi di mana server PostgreSQL berjalan yang pada umumnya sebagai pengguna postgres.

Peran default pada pg_read_server_files dan pg_write_server_files yang disebutkan di dalam registrasi CVE tidak mengizinkan pengguna database untuk menggunakan fitur Copy to/From Program.

Secara desain, kata Juyanto, tidak ada batasan keamanan antara superuser database dengan user sistem operasi di mana PostgreSQL dijalankan. Dengan demikian, server PostgreSQL tidak diizinkan untuk dijalankan sebagai superuser dari sistem operasi (root).

Fitur Copy to/From Program ditambahkan dalam PostgreSQL 9.3 tidak mengubah apapun yang disebutkan di atas, tetapi menambahkan perintah baru dalam lingkup keamanan yang telah tersedia sebelumnya.

"PostgreSQL Security Team juga mengingatkan semua pengguna PostgreSQL untuk mengikuti praktik terbaik, yaitu tidak pernah memberikan hak akses superuser untuk akses secara jarak jauh, atau kepada pihak tidak dikenal. Hal tersebut, merupakan prosedur operasional standar keamanan yang seharusnya dilaksanakan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database," pungkas Julyanto.



Sumber:BeritaSatu.com


BAGIKAN




BERITA LAINNYA

Tiongkok Siapkan Aturan Larang Penambangan Bitcoin

Tiongkok mulai membatasi aktivitas perdagangan cryptocurrency.

DIGITAL | 9 April 2019

Peretas Klaim Curi 6 Juta Data Pemilih Pemilu Israel

Grup peretas tersebut kemudian mengunggah keberhasilan mereka di Twitter.

DIGITAL | 9 April 2019

Pabrik Xiaomi di Batam Produksi 10 Juta Smartphone

Pabrik Xiaomi di Batam mempekerjakan lebih dari 1.000 karyawan lokal.

DIGITAL | 9 April 2019

Perkuat Lini Notebook Premium, AMD Hadirkan 2 Varian Prosesor

Kedua varian prosesor ini memiliki performa efisiensi daya dan fitur keamanan mutakhir.

DIGITAL | 9 April 2019

Bekraf Dorong Pengembang Aplikasi dan Gim di Gorontalo

Bekraf mengupayakan pengembangan ekonomi kreatif berbasis digital di Gorontalo.

DIGITAL | 8 April 2019

Ini 12 Ciri Berita Hoax

Kepalsuan tersebut umumnya menggunakan data, foto dan kutipan orang, sehingga dianggap orang yang membacanya sebagai sebuah kebenaran.

DIGITAL | 8 April 2019

320 Hoax Beredar di 2019, Mayoritas Bertema Politik

Berdasarkan data dari Mafindo jelang Pemilu 2019, terdapat 320 konten hoax yang beredar di internet dan media sosial.

DIGITAL | 8 April 2019

Mafindo Buka Kanal Pelaporan Hoax Lewat WhatsApp

Mafindo menyediakan aplikasi Hoax Buster Tools untuk memeriksa kebenaran suatu informasi.

NASIONAL | 8 April 2019

BiUP Siapkan Fitur Global Terkait Munculnya Fenomena IEO

IEO merupakan fenomena terbaru di dunia mata uang kripto sebagai cara penggalangan dana investasi dari publik (crowdfunding).

DIGITAL | 8 April 2019

Sabak Galaxy Tab S5e Lebih Ramping dan Ringan

Samsung Electronics Indonesia memperkenalkan sabak Galaxy S5e. Dengan fitur cerdas, perangkat berlayar 10,5 inci ini memiliki desain yang lebih ramping dan ringan.

DIGITAL | 8 April 2019


TERKONEKSI BERSAMA KAMI
Copyright © 2020 BeritaSatu
Allright Reserved
CONTACT US
Berita Satu Plaza, Lantai 11 Kav. 35-36,
Jl. Jend. Gatot Subroto, Jakarta Selatan, Jakarta 12950
Telp: +62 21 2995 7500
Fax: +62 21 5277975
BeritaSatu Media Holdings
CLOSE ADS