The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с правами пользователя, запускающего pg_dump"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с правами пользователя, запускающего pg_dump"  +/
Сообщение от opennews (??), 09-Авг-24, 12:44 
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, в которых исправлено 56 ошибок, выявленных за последние три месяца. Среди прочего в новых версиях устранена уязвимость (CVE-2024-7348), помеченная как опасная (уровень опасности 8.8 из 10). Уязвимость вызвана состоянием гонки в утилите pg_dump, позволяющем атакующему, имеющему возможность создания  и удаления постоянных объектов в СУБД, добиться выполнения произвольного SQL-кода с правами пользователя, под которым запускается утилита pg_dump (обычно  pg_dump запускается с правами суперпользователя для резервного копирования СУБД)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61677

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –7 +/
Сообщение от Аноним (1), 09-Авг-24, 12:44 
Интересно, сколько хомячков запускало постгрешный дамп на продакшене из под суперпользователя, не пользуясь специально создаваемым бекап пользователем?
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +13 +/
Сообщение от Аноним (2), 09-Авг-24, 12:53 
Хах, вот же хомячки! Не ожидали наверное, что pg_dump внезапно начнет выполнять код, присланный из БД? Хах, выкусите, хомячки! <сарказм>
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от Аноним (5), 09-Авг-24, 13:02 
Хорошие годные параноики ждут такого поведения всегда и везде.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от 1 (??), 09-Авг-24, 12:55 
А разве не через pg_basebackup идёт бекапирование ?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 09-Авг-24, 16:01 
Можно и так и так, "в зависимости от", но где гарантии что и в нём нет какой нбиудь недосмотренной бяки?
😉
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 09-Авг-24, 16:08 
ну и для особо ушлых - проверь у себя, pg_basebackup не идет ли у тебя так же от суперпользователя, и если нет, настраивай через выдачу прав на репликации.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +4 +/
Сообщение от Аноним (8), 09-Авг-24, 13:27 
pg_dump на проде? Ох лол, кто ещё тут хомячок.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от Аноним (5), 09-Авг-24, 13:37 
Тут свидетель не лазать руками на прод.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +3 +/
Сообщение от vvm13 (ok), 09-Авг-24, 13:50 
pg_dump же не годится и не предназначен для создания бекапа базы на проде. Только для чего-то такого, что совсем не важное и не жалко. Можно ещё вспомнить про миграцию между версиями или архитектурами, но даже так дело очень редкое.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от Аноним (21), 09-Авг-24, 15:20 
Ты объясняешь это подкроватным админам, вершина карьеры которых - поднять nextcloud для бухов. Они даже не понимают о чем речь)
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от Аноним (5), 09-Авг-24, 15:20 
Кроме миграций и бекапов на проде бывает много других интересных занятий.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (21), 09-Авг-24, 15:29 
Я ж говорю не понимают))
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +3 +/
Сообщение от Аноним (37), 09-Авг-24, 18:20 
> pg_dump же не годится и не предназначен для создания бекапа базы на проде

Сам придумал? Годится и предназначен.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

39. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –2 +/
Сообщение от Аноним (21), 09-Авг-24, 18:54 
Если нет задачи его потом восстановить, то конечно. Ты на собесе только такое не скажи, а то на этом он будет окончен моментально.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +3 +/
Сообщение от Аноним (37), 09-Авг-24, 19:02 
В чём проблема с восстановлением? У нас он регулярно восстанавливается на staging. Я вижу что ты очень сильно что-то нам хочешь сообщить про своё непонимание pg_dump, но у тебя плохо получается.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от Аноним (1), 09-Авг-24, 19:49 
Возможно он начитался статей каких нибудь гениев на гипотетическом хабре,
о кривизне бекапов, например баз 1с находящихся в работе онлайн,
не вникая в суть - когда и как можно и нужно использовать pg_dump
и какие условия для этого необходимо соблюсти для консистентности данных.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от User (??), 09-Авг-24, 17:40 
Это не хомячок, это суслик. Ты его не видишь - а он есть! Неподалеку от сурикатов, которые папку с базой тарят и кротов, которые в снапшот vm веруют...
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

36. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от Аноним (37), 09-Авг-24, 18:19 
Почему нет-то? Только его и используем.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

40. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (21), 09-Авг-24, 18:55 
Используем? Название конторы срочно.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +2 +/
Сообщение от Аноним (37), 09-Авг-24, 19:00 
Не поверишь, postgrespro)
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Я (??), 10-Авг-24, 16:57 
А как же пгпробэкап??
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Ныряние со штангой (?), 13-Авг-24, 10:37 
https://docs.gitlab.com/ee/administration/backup_restore/#da...
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от Аноним (12), 09-Авг-24, 13:49 
Я, конечно, все понимаю, но...
Когда я там в последний раз запускал pg_dump? Ах да - никогда.
Запускать pg_dump при работающей базе? Чтобы что?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от vvm13 (ok), 09-Авг-24, 13:59 
pg_dump internally executes SELECT statements.
pg_dump is used to transfer data to newer versions of PostgreSQL.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –3 +/
Сообщение от Аноним (12), 09-Авг-24, 14:36 
>pg_dump is used to transfer data to newer versions of PostgreSQL.

pg_upgrade же есть для этого:

$ /usr/pgsql-16/bin/pg_upgrade -b /usr/pgsql-13/bin/ -B /usr/pgsql-16/bin/ -d /var/lib/pgsql/13/data/ -D /var/lib/pgsql/16/data/ -o ' -c config_file=/var/lib/pgsql/13/data/postgresql.conf'  -O ' -c config_file=/var/lib/pgsql/16/data/postgresql.conf'

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (37), 09-Авг-24, 18:21 
Это дичь требующая ставить две версии постгреса и 2x места. Не нужно нам нахрен такого.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от 312 (?), 10-Авг-24, 14:51 
Оно же хардлинками умеет, и не займет x2 места
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (57), 11-Авг-24, 15:22 
Но от двух версий сразу все равно не уйти, если применяется хоть одно расширение.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (12), 12-Авг-24, 10:18 
>Это дичь требующая ставить две версии постгреса и 2x места.

Ну а в чем проблема? В вашем любимом Slackware так нельзя без танцев с бубном? В RHEL колнах с этим никаких заморочек нет, и одинаковые экстеншены к разным версиям Postgres поставить через dnf тоже можно.
Поставил новую версию, запустил pg_upgrade, проверил что все хорошо, удалил старый Postgres и его данные (если копировал, а не хардлинками).

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

34. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (37), 09-Авг-24, 18:18 
> Запускать pg_dump при работающей базе? Чтобы что?

Чтобы получить слепок базы для бэкапа или клонирования. В чём проблема?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

28. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 09-Авг-24, 16:14 
Раз уж пошла такая пьянка, господа, кто что использует для резервного копирования с Pg:
1. pg_dump
2. pg_basebackup
3. различные виды репликации на бекап-негра.
4. что то упустил, типа ZFS\HAMMER снапшотов...
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от Аноним (5), 09-Авг-24, 16:29 
5. Какие ещё бекапы?
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (31), 09-Авг-24, 17:30 
6 pg barman
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от User (??), 09-Авг-24, 17:44 
Тут интересней не "что используется для бэкапа", а "что используется для restore'a" не всего кластера целиком, а ну вот - отдельной базы в нем)
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

44. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 09-Авг-24, 19:24 
Ну если ты делаешь целиком basebackup, то как ты собираешься restore одной базы?
Сам себе злобный буратина?
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от User (??), 09-Авг-24, 19:59 
> Ну если ты делаешь целиком basebackup, то как ты собираешься restore одной
> базы?
> Сам себе злобный буратина?

Ух, лапа - сколько же замечательных открытий ожидает тебя при чтении документации... Но чот боюсь - не дождутся.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (21), 09-Авг-24, 22:07 
Какой документации? Максимум, что читает киса это "как зделоть бэкап nextcloud на руспбери" на яндекс.дзене.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 09-Авг-24, 22:44 
Ты прав, сам я такого не нашел.
Итак, у нас есть бекап-архив (ну или директория) сделанная через pg_basebackup с дефолтового таблспейса.
Как же восстановить только одну отдельную базу 1с из десятка\сотни забекапированных, не разворачивая их все в соседний инстанс?
Ты же знаешь, не правда ли, иначе бы не язвил.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

50. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +1 +/
Сообщение от User (??), 10-Авг-24, 12:48 
> Ты прав, сам я такого не нашел.
> Итак, у нас есть бекап-архив (ну или директория) сделанная через pg_basebackup с
> дефолтового таблспейса.
> Как же восстановить только одну отдельную базу 1с из десятка\сотни забекапированных, не
> разворачивая их все в соседний инстанс?
> Ты же знаешь, не правда ли, иначе бы не язвил.

Use pg_probackup или pgbackrest, Luke!

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 10-Авг-24, 13:02 
Ну, как бы на русском было написано:
"сделанная через pg_basebackup"...
перечитай https://www.opennet.ru/openforum/vsluhforumID3/134512.html#44 и https://www.opennet.ru/openforum/vsluhforumID3/134512.html#47
Если хочешь, замнем для ясности. (А так то я могу и Barman пользовать, и любую другую внешнюю тулзу.)

Вопрос, в том, что если ты делаешь бекап базы (например 1с) через pg_probackup, ты уверен, что в сохраненном тобой бекапе окажутся все данные баз?
Самое простое - как мы помним, права доступа к указанной базе и хранение Tablespace вынесены на уровень кластера, что, как мы понимаем, несколько выше, чем таблички сданными и индексы.
Вопрос - pg_probackup корректно их архивирует (и, естественно, восстанавливает)?

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от User (??), 10-Авг-24, 22:18 
> Ну, как бы на русском было написано:
> "сделанная через pg_basebackup"...
> перечитай https://www.opennet.ru/openforum/vsluhforumID3/134512.html#44 и https://www.opennet.ru/openforum/vsluhforumID3/134512.html#47

Ну как бы на русском было написано - "кто что использует для restore'а одиночной базы в инстансе\кластере" -  basebackup, который для этой цели не то, чтобы подходит - притащили уже вы.  

> Если хочешь, замнем для ясности. (А так то я могу и Barman
> пользовать, и любую другую внешнюю тулзу.)

Эм, да - но нет. В смысле, если я ничего не путаю - то barman partial restore как раз таки и не.
Вот такая у нас замечательная субд - надежная, как швейцарские часы. Можно сделать дамп (который - нифига не бэкап in general - ну или очень-очень хреновый backup) отдельной бд - и иногда можно его даже восстановить. Правда - оказывается, есть риск поисполнять при этом чужой код. Можно вот сделать бэкап... всего сервера, с возможностью исключить при восстановлении ненужные базы... с нюансами в виде необходимости чтения всего бэкапа целиком, что, разумеется, аффектит RTO. Ну и можно вот по базе на инстанс распихать - с соответствующими накладными.
А других СУБД у меня для вас\нас не осталось :)

> Вопрос, в том, что если ты делаешь бекап базы (например 1с) через
> pg_probackup, ты уверен, что в сохраненном тобой бекапе окажутся все данные
> баз?

Эм, да. Но опять же - с нюансами. Есть поле для хорошо так "облажаццо".

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (1), 10-Авг-24, 23:33 
Ну, я притащил (как гипотетическую задачу), а вы подхватили...
Но спасибо за (не релевантный) ответ.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (37), 09-Авг-24, 18:19 
pg_dump, конечно.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

52. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Аноним (52), 10-Авг-24, 14:10 
Для физического бэкапа (который нужен исключительно как бэкап) - pg_basebackup с hot standby.

Для логического бэкапа (когда может понадобиться поднять на другой версии, дампить только часть, погрепать, в конце концов, чтобы найти, в каком дампе удаленные данные) - pg_dump со слейва.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

43. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от Анонимemail (43), 09-Авг-24, 19:06 
Постгрес.
Отследить, маняпуляйции, Луна в Сатурне.
Понятно. Теоретическая возможность на верирарной СУБД.
Ок, да.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  –1 +/
Сообщение от QULISA (?), 09-Авг-24, 19:34 
Лучший способ сделать бекап
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в PostgreSQL, позволяющая выполнить SQL-код с пра..."  +/
Сообщение от Rollo99email (ok), 11-Авг-24, 23:42 
Анонимы, которые НИКОГДА не используют pg_dump, расскажите секрет, как вы восстанавливаете только одну БД на дату или момент времени на том же или другом кластере с несколькими БД без его остановки?

imho, если и есть такие "волшебные" инструменты решающие эту задачу, то они используют pg_dump под капотом.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру