forum.opennet.ru - "Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса" (14)

"Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса"	+/–
Сообщение от opennews (ok), 15-Ноя-24, 23:02
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62238
Ответить \| Правка \| Cообщить модератору

Оглавление

Это фича, защита должна быть на другом уровне GREENPLUM посмотрите , commiethebeastie (ok), 23:02 , 15-Ноя-24, (1)
Гит Блейм в студию , Аноним (2), 23:10 , 15-Ноя-24, (2)
Всё-таки уязвимость не в Postgresql, а в Postgresql Perl, который тот редкий сл, Аноним (6), 00:03 , 16-Ноя-24, (6) +9

про посудную лавку , Аноним (8), 04:02 , 16-Ноя-24, (8)
Так и хорошо кроме Китайских хакеров сабжем никто и не пользовался никогда Спец, Аноним (13), 09:43 , 16-Ноя-24, (13) –3
Скрыто модератором, Аноннн (?), 10:37 , 16-Ноя-24, (15) +1
Очевидно, что изначально там должен был быть только PL Perl, чтобы не городить в, mos87 (ok), 18:40 , 16-Ноя-24, (22)

Обновляться рано, надо еще подождать https www postgresql org message-id 1731, Аноним (9), 05:52 , 16-Ноя-24, (9) +2
Достаточно Рукалицо , Аноним (16), 12:41 , 16-Ноя-24, (16)

Чтобы угнать автомобиль достаточно иметь ключ , Аноним (16), 12:42 , 16-Ноя-24, (17) +2

и брелок сигналки Не, ну надо же ж - код на перле выполняемый рабочим процессом, нах. (?), 14:26 , 16-Ноя-24, (18)

Хм, я правильно понял, что для того, чтобы этой уязвимостью воспользоваться, там, ьщккгнр (?), 15:24 , 16-Ноя-24, (19) +1
Скрыто модератором, mos87 (ok), 18:38 , 16-Ноя-24, (21)

Скрыто модератором, Аноним (23), 21:44 , 16-Ноя-24, (23)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от commiethebeastie (ok), 15-Ноя-24, 23:02

Это фича, защита должна быть на другом уровне. GREENPLUM посмотрите.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (2), 15-Ноя-24, 23:10

Гит Блейм в студию.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +9 +/–

Сообщение от Аноним (6), 16-Ноя-24, 00:03

Всё-таки уязвимость не в Postgresql, а в Postgresql/Perl, который (тот редкий случай, когда можно говорить за всех) никому не нужен. Это из разряда "посмотри, не включен ли случайно PL/Perl, и если да, отруби".

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (8), 16-Ноя-24, 04:02

> Это из разряда
про посудную лавку :)

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." –3 +/–

Сообщение от Аноним (13), 16-Ноя-24, 09:43

Так и хорошо кроме Китайских хакеров сабжем никто и не пользовался никогда. Специально для них же сделано.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. Скрыто модератором +1 +/–

Сообщение от Аноннн (?), 16-Ноя-24, 10:37

Ну, да. Из разряда "на пятый день орлиный глаз заметил..."

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от mos87 (ok), 16-Ноя-24, 18:40

Очевидно, что изначально там должен был быть только PL/Perl, чтобы не городить велосипедов.
А ты не говори всё-таки.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +2 +/–

Сообщение от Аноним (9), 16-Ноя-24, 05:52

Обновляться рано, надо еще подождать: https://www.postgresql.org/message-id/173171334532.1547978.1...

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (16), 16-Ноя-24, 12:41

> для совершения атаки достаточно доступа к СУБД
Достаточно??? Рукалицо...

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +2 +/–

Сообщение от Аноним (16), 16-Ноя-24, 12:42

Чтобы угнать автомобиль достаточно иметь ключ!

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +/–

Сообщение от нах. (?), 16-Ноя-24, 14:26

и брелок сигналки.
Не, ну надо же ж - код на перле выполняемый рабочим процессом - выполняется с правами рабочего процесса. Да кто б вообще мог такое подумать?! А если втянуть в него непроверенный user input - то еще и выполняется то что хотел юзер а не что-то еще. Ну надо же!

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..." +1 +/–

Сообщение от ьщккгнр (?), 16-Ноя-24, 15:24

Хм, я правильно понял, что для того, чтобы этой уязвимостью воспользоваться, там дальше где-то должен быть exec?

Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором +/–

Сообщение от mos87 (ok), 16-Ноя-24, 18:38

Как сочетается "позволяет локальному пользователю" с "не требуется наличие учётной записи в системе"?
Ну и процесс само собой работает под пользователем с ограниченными правами.

Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором +/–

Сообщение от Аноним (23), 16-Ноя-24, 21:44

> Как сочетается "позволяет локальному пользователю" с "не требуется наличие учётной записи
> в системе"?
А давайте вы не будете вырывать отдельные слова из контекста и отковотите фразу целиком - "позволяет локальному пользователю СУБД, обладающему правами на создание функций PL/Perl" Ведь тогда сразу всё на свои места становится?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
Сообщение от commiethebeastie (ok), 15-Ноя-24, 23:02
Это фича, защита должна быть на другом уровне. GREENPLUM посмотрите.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (2), 15-Ноя-24, 23:10
Гит Блейм в студию.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+9 +/–
Сообщение от Аноним (6), 16-Ноя-24, 00:03
Всё-таки уязвимость не в Postgresql, а в Postgresql/Perl, который (тот редкий случай, когда можно говорить за всех) никому не нужен. Это из разряда "посмотри, не включен ли случайно PL/Perl, и если да, отруби".
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (8), 16-Ноя-24, 04:02
	> Это из разряда про посудную лавку :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	–3 +/–
	Сообщение от Аноним (13), 16-Ноя-24, 09:43
	Так и хорошо кроме Китайских хакеров сабжем никто и не пользовался никогда. Специально для них же сделано.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	15. Скрыто модератором	+1 +/–
	Сообщение от Аноннн (?), 16-Ноя-24, 10:37
	Ну, да. Из разряда "на пятый день орлиный глаз заметил..."
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	22. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
	Сообщение от mos87 (ok), 16-Ноя-24, 18:40
	Очевидно, что изначально там должен был быть только PL/Perl, чтобы не городить велосипедов. А ты не говори всё-таки.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору

9. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+2 +/–
Сообщение от Аноним (9), 16-Ноя-24, 05:52
Обновляться рано, надо еще подождать: https://www.postgresql.org/message-id/173171334532.1547978.1...
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (16), 16-Ноя-24, 12:41
> для совершения атаки достаточно доступа к СУБД Достаточно??? Рукалицо...
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+2 +/–
	Сообщение от Аноним (16), 16-Ноя-24, 12:42
	Чтобы угнать автомобиль достаточно иметь ключ!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+/–
	Сообщение от нах. (?), 16-Ноя-24, 14:26
	и брелок сигналки. Не, ну надо же ж - код на перле выполняемый рабочим процессом - выполняется с правами рабочего процесса. Да кто б вообще мог такое подумать?! А если втянуть в него непроверенный user input - то еще и выполняется то что хотел юзер а не что-то еще. Ну надо же!
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."	+1 +/–
Сообщение от ьщккгнр (?), 16-Ноя-24, 15:24
Хм, я правильно понял, что для того, чтобы этой уязвимостью воспользоваться, там дальше где-то должен быть exec?
Ответить \| Правка \| Наверх \| Cообщить модератору

21. Скрыто модератором	+/–
Сообщение от mos87 (ok), 16-Ноя-24, 18:38
Как сочетается "позволяет локальному пользователю" с "не требуется наличие учётной записи в системе"? Ну и процесс само собой работает под пользователем с ограниченными правами.
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. Скрыто модератором	+/–
	Сообщение от Аноним (23), 16-Ноя-24, 21:44
	> Как сочетается "позволяет локальному пользователю" с "не требуется наличие учётной записи > в системе"? А давайте вы не будете вырывать отдельные слова из контекста и отковотите фразу целиком - "позволяет локальному пользователю СУБД, обладающему правами на создание функций PL/Perl" Ведь тогда сразу всё на свои места становится?
	Ответить \| Правка \| Наверх \| Cообщить модератору