Tim PostgreSQL Pastikan Tidak Ada Kerentanan Keamanan di Sistemnya

JawaPos.com - PostgreSQL dikabarkan memiliki kerentanan keamanan yang terdaftar dalam sistem common vulnerabilities and exposures (CVE) dengan nomor CVE-2019-9193. Informasi tersebut ternyata dibantah oleh PostgreSQL Security Team.

CEO PT Equnix Business Solutions Julyanto Sutandang mengungkapkan, kabar adanya kerentanan keamanan pada PostgreSQL merupakan sebuah kekeliruan. Hal tersebut berpotensi memengaruhi distro PostgreSQL lainnya. PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur COPY TO/FROM PROGRAM yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan superuser database di dalam grup pg_read_server_files bisa mengeksekusi perintah sistem operasi. Disebutkan pula bahwa fitur tersebut telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan,” ungkap Julyanto dalam keterangan tertulisnya, Rabu (10/4).

Dia menerangkan, apa yang diklaim sebagai ‘kerentanan’ tersebut mirip seperti saat login sebagai superuser atau root pada sistem Unix yang bisa mengedit dan membuat file serta menjalankan perintah sebagai root.

Fitur COPY TO/FROM PROGRAM tersebut secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai superuser atau peran default pg_execute_server_program. Fitur tersebut memang dirancang untuk mengizinkan superuser atau pg-execute_server_program untuk bertindak sebagai pengguna sistem operasi sementara server PostgreSQL berjalan pada umumnya sebagai pengguna postgres.

“Peran default pada pg_read_server_files dan pg_write_server_files yang disebutkan di dalam registrasi CVE tidak mengizinkan pengguna database untuk menggunakan fitur COPY TO/FROM PROGRAM,” terangnya.

Secara desain, tidak ada batasan keamanan antara superuser database dengan user sistem operasi di mana PostgreSQL dijalankan. Dengan demikian, server PostgreSQL tidak diizinkan untuk dijalankan sebagai superuser dari sistem operasi (root). Fitur COPY TO/FROM PROGRAM ditambahkan dalam PostgreSQL 9.3 tidak mengubah apa pun yang disebutkan di atas, tetapi menambahkan perintah baru dalam lingkup keamanan yang telah tersedia sebelumnya.

PostgreSQL Security Team juga mengingatkan bahwa semua pengguna PostgreSQL untuk mengikuti praktik terbaik, yaitu tidak pernah memberikan hak akses superuser untuk akses secara jarak jauh, atau kepada pihak tidak dikenal. Hal tersebut merupakan prosedur operasional standar keamanan yang seharusnya dilaksanakan dan diikuti dalam administrasi sistem, termasuk pula pada administrasi database.