The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление PostgreSQL с устранением уязвимостей "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от opennews (?), 14-Май-21, 12:24 
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL:  13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12  - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55148

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от клавиатур (?), 14-Май-21, 12:24   –4 +/
Дважды наблюдал как пробивали за короткий срок постгрес выставленный опой наружу в инет с последующим заражением убунты. Навешивали майнер + брутфорс паролей по ссш на другие машины в подсети.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #13, #26

2. Сообщение от Аноним (2), 14-Май-21, 12:45   +20 +/
Надеюсь на третий раз ты все-таки смог настроить фаервол?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #6

3. Сообщение от Аноним (3), 14-Май-21, 12:45   +3 +/
Пароль не пробовал нормальный придумать для суперюзера или доступ ему закрыть из внешней сети?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

4. Сообщение от клавиатур (?), 14-Май-21, 13:01   –12 +/
Эксперт на линии?
На что ты там надеешся сугубо твои проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #38, #44

5. Сообщение от клавиатур (?), 14-Май-21, 13:02   –2 +/
Не пробовал не писать тупые комменты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

6. Сообщение от Урри (ok), 14-Май-21, 13:13   +2 +/
А не подскажете настройку файрвола, которая отличает нормального клиента от хакера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #32

7. Сообщение от anonymous (??), 14-Май-21, 13:17   +8 +/
Я надеюсь (наверное, напрасно), что люди учатся на своих ошибках. Но нет, человечество продолжает не разочаровывать в своей тупости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

8. Сообщение от anonymous (??), 14-Май-21, 13:23   –3 +/
iptables -F
iptables -A INPUT -p 22 --src $TRUST_NETWORK -j ACCEPT
iptables -A INPUT -p 5432 --src $POSTGRES_CLIENT -j ACCEPT
iptables -P INPUT DENY
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16, #19

9. Сообщение от клавиатур (?), 14-Май-21, 13:38   –5 +/
Понимаю, ты тут один умный из всего человечества.
Продолжай надеятся и разочаровыватся, это самое важное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10, #37

10. Сообщение от anonymous (??), 14-Май-21, 14:12   +1 +/
> Понимаю, ты тут один умный из всего человечества.

Верно подмечено, смелый юнлинг, видно в ваших академиях не только риторике учат, но и иногда заставляют голову включать!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от HeavyMetal (?), 14-Май-21, 14:36   –1 +/
Какой вброс такие и комментарии.
Ваша претензия к PostgreSQL ничем не менее весомая, как претензия к админу(это же 100% не Вы, а Ваш знакомый?;-), который позволил такое. Даже если учесть, что сервис  безопасен, почему не сделать в дополнение к этому ещё одну ступень езопасности, как фаервол, как писали коллеги выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17, #21

13. Сообщение от Аноним (13), 14-Май-21, 14:41   +1 +/
Мне интесно было бы узнать подробности (я не тролю или что-то такое).
Скажите пожалуйста - а были ли там настроены ограничени доступа по IP в hba.conf?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #24

14. Сообщение от Аноним (14), 14-Май-21, 14:51   +1 +/
С ограничениями новомодное веб-приложение не работало, забили по-быстренькому 0.0.0.0 all.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #23

16. Сообщение от Аноним (16), 14-Май-21, 14:57   +4 +/
А нахрена позволять цепляться к Постгресу из инета вообще кому-либо? Для своих доступ через VPN только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29, #42

17. Сообщение от Аноним (17), 14-Май-21, 15:09   +/
Автор исходной кулстори явно забыл указать "мелкие подробности", в числе которых практически наверняка имели место:
- бубунта искаропки с дефолтными настройками
- слоник аналогично, и наверняка ещё докидали учёток с админскими правами уже в нём
- слоник не менее наверняка крутился под рутом
В общем, типовой такой васяно-одминский локалхост.
А ну да, про файрвол уже тоже намекнули ему, а заодно про саму идею достуна к слонику откуда-то из инета без vpn-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18, #30

18. Сообщение от Другой_Анон (?), 14-Май-21, 15:48   +/
Не, дефолтная постгря на дефолтной Ubuntu не будет светить голой жопой в интернеты
То есть там была сознательная настройка на вывешивание беспарольной Постгри в инет с доступом для любых адресов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22

19. Сообщение от Аноним (-), 14-Май-21, 16:04   –1 +/
вроде iptables устарел, теперь надо nftables юзать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #28

21. Сообщение от клавиатур (?), 14-Май-21, 16:40   –1 +/
Где ты увидел вброс и претензию?
Зачем ты додумываешь то, чего нет и быть не могло, а потом на свои фантазии пишешь комменты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

22. Сообщение от клавиатур (?), 14-Май-21, 16:52   –1 +/
Постгря была с сильным паролем, вывешивание опой наружу было осознанным на короткий срок с пониманием последствий.
Можешь сам создать хонейпот и посмотреть, что будет.
Остановите поток своих фантазий, уважаемые анонимы, они бесплодны.
Если интересуют детали, то можно было напрямую задать вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от клавиатур (?), 14-Май-21, 16:58   –1 +/
Ответ очередного фантазера на свои фантазии.
Забыл про вебмакак написать, они еще в тренде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от клавиатур (?), 14-Май-21, 16:59   –2 +/
Добра. Посмотри мой ответ на 7.22.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #43

25. Сообщение от YetAnotherOnanym (ok), 14-Май-21, 17:12   –2 +/
> Устранение некорректных вычислений

Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт. По десять раз каждую скобку в своём коде выверил, все сроки сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно как оказывается.
У меня не с сабжем, у меня с другой софтиной было. Но тех, кто наступил - очень хорошо понимаю и им сочувствую.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #35, #36, #40

26. Сообщение от Аноним (26), 14-Май-21, 17:26   –1 +/
Интересно как дела с марией обстоят в этом плане
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #33

28. Сообщение от llolik (ok), 14-Май-21, 19:44   +/
как-то так

flush ruleset
table inet filter {
    type filter hook input priority 0; policy drop;
    iif ${TRUST_NETWORK} tcp dport 22 accept;
    iif ${$POSTGRES_CLIENT} tcp dport 5432 accept;
}

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

29. Сообщение от Аноним (29), 14-Май-21, 19:54   +1 +/
Удорожает. Уходят деньги на людей для саппорта. Дешевле схалтурить и выставить голым портом в интернет. Но может быть важно успеть уволиться, пока поймут что сделал для проекта. Не всегда можно успеть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

30. Сообщение от Аноним (29), 14-Май-21, 20:00   –3 +/
> Автор исходной кулстори явно забыл указать "мелкие подробности", в числе которых практически
> наверняка имели место:
> - бубунта искаропки с дефолтными настройками
> - слоник аналогично, и наверняка ещё докидали учёток с админскими правами уже
> в нём
> - слоник не менее наверняка крутился под рутом
> В общем, типовой такой васяно-одминский локалхост.
> А ну да, про файрвол уже тоже намекнули ему, а заодно про
> саму идею достуна к слонику откуда-то из инета без vpn-а.

Т.е. Слоник-то аки дуршлаг... Без уличной магии пробить как неча делать. КОли уж так.

Это не хост васяно-админский, это Слоник лохова-то сделан.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

31. Сообщение от Аноним (29), 14-Май-21, 20:03   +/
>> Устранение некорректных вычислений
> Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт.
> По десять раз каждую скобку в своём коде выверил, все сроки
> сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно
> как оказывается.
> У меня не с сабжем, у меня с другой софтиной было. Но
> тех, кто наступил - очень хорошо понимаю и им сочувствую.

Типа того. Иногда случается с разным софтом.

Бывает можно вовремя уверенно сказать: а у Вас вон там неясное бесперспективное сбоилово - выбрасываем или терпим с таким диагнозом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

32. Сообщение от СеменСеменыч777 (?), 14-Май-21, 21:33   +/
> А не подскажете настройку файрвола

"все пропускать во всех направлениях".
фаерволлы снижают производительность сети.

> отличает нормального клиента от хакера?

туннель с проверкой сертификата (или контрольной суммы ключа)
с 0.0.0.0 на 127.0.0.1, на котором и принимает соединения дырософт.
подразумевается что хаксор ключа не имеет, а нормальный клиент - имеет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

33. Сообщение от Ilya Indigo (ok), 14-Май-21, 23:00   –2 +/
>  Интересно как дела с марией обстоят в этом плане

В MariaDB есть прекраснейший параметр skip-networking, который вообще отрубает слушателя от сети, разрешая работать только через socket.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от Аноним (35), 15-Май-21, 07:58   +/
Епеой смысл верить мануалу, если в отладчике видно что не так? Дальше обычно нужно разобраться, почему. Иногда это баг, иногда недокументированная особенность. Ничего ужасного для процесса разработки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

36. Сообщение от Аноним (35), 15-Май-21, 08:03   –1 +/
Я имею в виду, что это за разработка без отладки. Даже если проблема в твоём коде, ты её гораздо быстрее найдёшь когда у тебя уже есть баг. Лучше всего расценивать весь код как твой конечно, но это не всегда возможно. Если это не на проде, то всё вообще прекрасно. На проде надо всего лишь срочно накостылять хоть что-то и никакие сроки не будут сорваны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Michael Shigorinemail (ok), 15-Май-21, 10:02   +4 +/
1) надеюсь, это не Вы додумались выставлять зады банных в сеть, так-то это и двадцать лет назад было плоской шуткой;
2) http://tsya.ru;
3) обратите, пожалуйста, внимание на правила форума: http://wiki.opennet.ru/ForumHelp -- незачем отгавкиваться, когда человек вообще-то по существу пишет (и вдруг кому-то это ещё пригодится намотать на ус, научившись заранее на чужих шишках).

PS: #22 почитал, это стоило сразу сказать во избежание вот этого всего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

38. Сообщение от Shnorr (?), 16-Май-21, 12:15   +/
Апщем-то даже в мускуле стандартная схема это подключение к бд внутри ssh.

ssh по сертификату (ну или с паролем но на нестандартном порту и с port knocking)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

40. Сообщение от Аноним (40), 17-Май-21, 13:40   +/
Нефиг пилить по мануалам. Мануалы-это кто-то что-то там начиркал, очень часто это вообще левый чувак, отдалённо относящийся к проекту. Тащишь чужой код-будь готов отлаживать его, и/или копаться в его исходниках. Кто сказал, что будет легко? Привет всем, кто талдычить про nih синдромы. Очень часто проще и дешевле с нуля сваять свою реализацию, чем тащить в проект тонны чужого кода и возиться потом с ним.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41

41. Сообщение от YetAnotherOnanym (ok), 17-Май-21, 15:20   +/
Вообще-то, по-разному бывает. Есть продукты очень хорошо документированнвые. И если что-то в доках не совпадает с поведением программы, пишешь в рассылку, там сразу признают косяк (ну бывает, коммит мержнули, а доку поправить не успели). А есть такие, где на доки просто забили. Приходится гуглить мэйллисты, спрашивать на форумах, лезть в код (который ещё и без комментариев) и так далее. Но там хоть сразу понимаешь, что разбираться надо самому.
А вот кода документация вроде подробная и правильная, а программа делает не то, причём не крашится, не ругается в логах, и не сразу поймёшь, что ошибка вообще есть - вот это очень удручает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от Аноним (42), 17-Май-21, 18:43   +/
TLS/SSL настроить проще чем VPN и работает лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

43. Сообщение от Аноним (43), 19-Май-21, 01:55   +/
Проблема в том что ты врёшь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

44. Сообщение от Леголас (ok), 22-Май-21, 05:49   +/
А. Аршавин, залогиньтесь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру