The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в PostgreSQL, позволяющая выполнить код с правами рабочего процесса"  +/
Сообщение от opennews (ok), 15-Ноя-24, 23:02 
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL  17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62238

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от commiethebeastie (ok), 15-Ноя-24, 23:02 
Это фича, защита должна быть на другом уровне. GREENPLUM посмотрите.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от Аноним (2), 15-Ноя-24, 23:10 
Гит Блейм в студию.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +14 +/
Сообщение от Аноним (6), 16-Ноя-24, 00:03 
Всё-таки уязвимость не в Postgresql, а в Postgresql/Perl, который (тот редкий случай, когда можно говорить за всех) никому не нужен. Это из разряда "посмотри, не включен ли случайно PL/Perl, и если да, отруби".
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от Аноним (8), 16-Ноя-24, 04:02 
> Это из разряда

про посудную лавку :)

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  –3 +/
Сообщение от Аноним (13), 16-Ноя-24, 09:43 
Так и хорошо кроме Китайских хакеров сабжем никто и не пользовался никогда. Специально для них же сделано.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. Скрыто модератором  +1 +/
Сообщение от Аноннн (?), 16-Ноя-24, 10:37 
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +1 +/
Сообщение от mos87 (ok), 16-Ноя-24, 18:40 
Очевидно, что изначально там должен был быть только PL/Perl, чтобы не городить велосипедов.

А ты не говори всё-таки.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

24. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от 1 (??), 18-Ноя-24, 09:50 
Ну как бы именно в Postgre ...

Просто я не представляю ситуацию, когда не админу разрешено создавать функции Pl/Perl, да в общем-то и какие другие. Уже давно хранилки выведены на уровень сервера приложений.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от Сталин (?), 18-Ноя-24, 15:07 
Да нет никакой «Постгре», где вы это название взяли? Есть Postgres и PostreSQL.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +2 +/
Сообщение от Аноним (9), 16-Ноя-24, 05:52 
Обновляться рано, надо еще подождать: https://www.postgresql.org/message-id/173171334532.1547978.1...
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +2 +/
Сообщение от Аноним (16), 16-Ноя-24, 12:41 
> для совершения атаки достаточно доступа к СУБД

Достаточно??? Рукалицо...

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +4 +/
Сообщение от Аноним (16), 16-Ноя-24, 12:42 
Чтобы угнать автомобиль достаточно иметь ключ!
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +1 +/
Сообщение от нах. (?), 16-Ноя-24, 14:26 
и брелок сигналки.

Не, ну надо же ж - код на перле выполняемый рабочим процессом - выполняется с правами рабочего процесса. Да кто б вообще мог такое подумать?! А если втянуть в него непроверенный user input - то еще и выполняется то что хотел юзер а не что-то еще. Ну надо же!

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от Аноним (29), 18-Ноя-24, 21:24 
> и брелок сигналки.

Да вообще не обязательно, некоторые модели можно и без этого угнать, достаточно пары проводов подлиннее, ардуины, батарейки и правую фару достать. А какие-то и вовсе флиппером открываются.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  –1 +/
Сообщение от ьщккгнр (?), 16-Ноя-24, 15:24 
Хм, я правильно понял, что для того, чтобы этой уязвимостью воспользоваться, там дальше где-то должен быть exec?
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  –1 +/
Сообщение от mos87 (ok), 16-Ноя-24, 18:38 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +/
Сообщение от Аноним (23), 16-Ноя-24, 21:44 
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в PostgreSQL, позволяющая выполнить код с правами..."  +/
Сообщение от ыы (?), 18-Ноя-24, 10:00 
>не требуется наличие учётной записи в системе.

не требуется наличие учетной записи в операционной системе?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру