Uma cadeia de duas falhas críticas foi divulgada no ApsaraDB RDS para PostgreSQL e no AnalyticDB para PostgreSQL da Alibaba Cloud, que podem ser exploradas para violar as proteções de isolamento de inquilinos e acessar dados confidenciais pertencentes a outros clientes.

As vulnerabilidades permitiram potencialmente acesso não autorizado aos bancos de dados PostgreSQL dos clientes do Alibaba Cloud e a capacidade de realizar um ataque à cadeia de suprimentos em ambos os serviços de banco de dados do Alibaba, levando a um RCE nos serviços de banco de dados.

Os problemas , apelidados de BrokenSesame , foram relatados ao Alibaba Cloud em dezembro de 2022, após a implementação de mitigações pela empresa em 12 de abril de 2023.

Esta não é a primeira vez que vulnerabilidades do PostgreSQL são identificadas em serviços em nuvem. No ano passado, foram descobertos problemas semelhantes no Banco de Dados do Azure para PostgreSQL Flexible Server e no IBM Cloud Databases para PostgreSQL.