The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от opennews (??), 05-Апр-19, 08:47 
В ответ на появление в СМИ спекуляций, основанных на отчёте (https://www.trustwave.com/en-us/resources/blogs/spiderlabs-b.../) об (https://www.mag-securs.com/alertes/artmid/1894/articleid/401...) уязвимости (https://medium.com/greenwolf-security/authenticated-arbitrar...) CVE-2019-9193 (https://coocoor.com/advisory/cve/CVE-2019-9193), разработчики PostgreSQL опубликовали (https://www.postgresql.org/about/news/1935/) опровержение. CVE-2019-9193 преподносится некоторыми аналитиками как критическая удалённо эксплуатируемая проблема, позволяющая в конфигурации по умолчанию через манипуляции с конструкцией "COPY TO/FROM PROGRAM" выполнить произвольный код с правами пользователя, под которой запущена СУБД. Данные заявления не соответствуют действительности, описанная проблема надумана и CVE-2019-9193 на деле не является уязвимостью. Идентификатор уязвимости CVE-2019-9193 выдан по недосмотру.


Конструкция "COPY TO/FROM PROGRAM (https://www.postgresql.org/docs/current/sql-copy.html)" является штатной функциональностью, которая доступна только пользователю с правами администратора (superuser) или при явном делегировании полномочия "pg_execute_server_program". Вопреки заявлениям в публикациях, предоставляемые по умолчанию права
pg_read_server_files и pg_write_server_files не дают полномочий для выполнения конструкции "COPY..PROGRAM". Обычные пользователи СУБД не имеют возможности запуска обработчиков при помощи "COPY TO/FROM PROGRAM", а администратору нет смысла взламывать собственное окружение, в котором выполняется СУБД и к которому уже имеется полный доступ (администратор СУБД имеет полномочия пользователя под которым выполняется PostgreSQL).


URL: https://www.postgresql.org/about/news/1935/
Новость: https://www.opennet.dev/opennews/art.shtml?num=50461

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +2 +/
Сообщение от Аноним (1), 05-Апр-19, 08:47 
FUD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +3 +/
Сообщение от Аноним (5), 05-Апр-19, 10:02 
Oracle?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +1 +/
Сообщение от Аноним (10), 05-Апр-19, 10:22 
Oracle, Percona и другие клоноделы записнушки-переростка.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +4 +/
Сообщение от trolleybusemail (?), 05-Апр-19, 09:39 
> CVE-2019-9193
> Published Date: 04/01/2019

Это точно была не первоапрельская шутка?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от Аноним (3), 05-Апр-19, 09:47 
>"COPY TO/FROM PROGRAM" является штатной функциональностью,

Очень жду когда SQL базы научатся прожигать CD-R диски.
Такая дыра в функциональности!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +8 +/
Сообщение от Аноним (4), 05-Апр-19, 10:01 
Про зияющие дыры в безопасности забыли. Любой хакер, повязав вооруженную охрану на входе и сломав замок в серверную монтировкой, может зайти с правами администратора с консоли сервера и зная пароль рута СУБД и сделать с ней, что захочет!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +4 +/
Сообщение от 1 (??), 05-Апр-19, 10:06 
Ты как в 20 веке - "в серверную" ...
Как ты в цоде найдёшь нужное тебе лезвие ?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +2 +/
Сообщение от доктор Хаус (?), 05-Апр-19, 10:15 
притащу за патлы одмина с паяльником в анусе - не только покажет, но и сам всё сделает
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +3 +/
Сообщение от Аноним (3), 05-Апр-19, 11:45 
>притащу за патлы одмина

А ты его найдешь в пригороде Джайпура?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от Аноним (3), 05-Апр-19, 10:15 
>Про зияющие дыры в безопасности забыли. Любой хакер, повязав вооруженную охрану на входе и сломав замок в серверную монтировкой, может зайти с правами администратора с консоли сервера и зная пароль рута СУБД и сделать с ней, что захочет!

Или вставив кавычку" в поле поиска на вебсайте.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от Аноним (10), 05-Апр-19, 10:21 
Это кто-то ситуацию с мысклем на PG отзеркалил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от Аноним (11), 05-Апр-19, 10:47 
> Данные заявления не соответствуют действительности, описанная проблема надумана и CVE-2019-9193 на деле не является уязвимостью. Идентификатор уязвимости CVE-2019-9193 выдан по недосмотру.

Все что нужно знать о CVE.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от Аноним (15), 07-Апр-19, 08:38 
Это вы ещё не видели китайцев, несколько месяцев назад зарегистрировавших серию CVE для "уязвимостей" в... gcc и binutils!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  –3 +/
Сообщение от fi2fi (?), 05-Апр-19, 12:04 
проблема в общем в том чтоб настроить права в Pg, да в любой другой СУБД,  семь потов сойдет - и есть желания просто дать superuser и не париться. ))))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от KonstantinB (ok), 05-Апр-19, 22:08 
Ждем CVE на CREATE EXTENSION.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  –1 +/
Сообщение от лютый жабист__ (?), 08-Апр-19, 09:11 
Кто-то ещё пользуется поцгресом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от KonstantinB (ok), 10-Апр-19, 05:30 
Да, разумеется. А какие варианты-то еще, кроме мыскля?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от лютый жабист__ (?), 10-Апр-19, 07:37 
> Да, разумеется. А какие варианты-то еще, кроме мыскля?

Тяжело жить на планете с двумя СУБД. А у нас всё хорошо с этим.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."  +/
Сообщение от KonstantinB (ok), 10-Апр-19, 19:27 
Опенсорсных, реляционных и достаточно широко распространенных - да, две. А у вас что?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру