Berita

IMBAUAN KEAMANAN KERENTANAN SQL INJECTION PADA DRIVER PostgreSQL JDBC (CVE-2022-31197)

Posted by : Admin , Sep 05, 2022

Pendahuluan

Produk Terdampak

Produk yang terdampak oleh CVE-2022-31197 yaitu driver PostgresSQL JDBC pada versi sebelum 42.2.0 hingga 42.2.26 dan versi 42.3.0 hingga 42.4.1. Kerentanan ini telah diremediasi pada versi 42.2.26 dan 42.4.1.

Detail dan Dampak Kerentanan

Pada tanggal 3 Agustus 2022, davecrammer melalui situs Github merilis imbauan mengenai kerentanan SQL Injection pada ResultSet.refreshRow() dengan nama kolom berbahaya.. Kerentanan yang ditemukan yaitu SQL Injection, dimana kerentanan ini disebabkan oleh kolom nama yang tidak melakukan pelolosan nama kolom sehingga kolom nama berbahaya yang mengandung statement terminator seperti “;”. Hal ini dapat menyebabkan eksekusi perintah SQL tambahan. Serangan mengharuskan penyerang untuk mengecoh pengguna untuk mengeksekusi SQL pada nama tabel yang mengandung perintah SQL berbahaya yang dapat memanggil metode ‘refreshRow()’ pada ResultSet

Panduan Mitigasi

Sebagai langkah pencegahan terhadap kerentanan yang ada, maka langkah yang dapat dilakukan yaitu dengan melakukan substitusi perangkat dengan produk alternatif.

Referensi

[1] “NVD - CVE-2022-31197,” National Institue Standards and Technology, 3 Agustus 2022. [Online]. Available: https://nvd.nist.gov/vuln/detail/CVE-2022-31197. [Diakses 26 Agustus 2022].
[2] “CVE-2022-31197 Detail,” The MITRE Corporation, 3 Agustus 2022. [Online]. Available: https://www.cve.org/CVERecord?id=CVE-2022-31197. [Diakses 26 Agustus 2022].
[3] davecramer, “SQL Injection in ResultSet.refreshRow() with malicious column names,” Github, 3 Agustus 2022. [Online]. Available: https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2. [Diakses 26 Agustus 2022