Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
Сообщение от opennews (??), 05-Апр-19, 08:47
В ответ на появление в СМИ спекуляций, основанных на отчёте (https://www.trustwave.com/en-us/resources/blogs/spiderlabs-b.../) об (https://www.mag-securs.com/alertes/artmid/1894/articleid/401...) уязвимости (https://medium.com/greenwolf-security/authenticated-arbitrar...) CVE-2019-9193 (https://coocoor.com/advisory/cve/CVE-2019-9193), разработчики PostgreSQL опубликовали (https://www.postgresql.org/about/news/1935/) опровержение. CVE-2019-9193 преподносится некоторыми аналитиками как критическая удалённо эксплуатируемая проблема, позволяющая в конфигурации по умолчанию через манипуляции с конструкцией "COPY TO/FROM PROGRAM" выполнить произвольный код с правами пользователя, под которой запущена СУБД. Данные заявления не соответствуют действительности, описанная проблема надумана и CVE-2019-9193 на деле не является уязвимостью. Идентификатор уязвимости CVE-2019-9193 выдан по недосмотру. Конструкция "COPY TO/FROM PROGRAM (https://www.postgresql.org/docs/current/sql-copy.html)" является штатной функциональностью, которая доступна только пользователю с правами администратора (superuser) или при явном делегировании полномочия "pg_execute_server_program". Вопреки заявлениям в публикациях, предоставляемые по умолчанию права pg_read_server_files и pg_write_server_files не дают полномочий для выполнения конструкции "COPY..PROGRAM". Обычные пользователи СУБД не имеют возможности запуска обработчиков при помощи "COPY TO/FROM PROGRAM", а администратору нет смысла взламывать собственное окружение, в котором выполняется СУБД и к которому уже имеется полный доступ (администратор СУБД имеет полномочия пользователя под которым выполняется PostgreSQL). URL: https://www.postgresql.org/about/news/1935/ Новость: https://www.opennet.dev/opennews/art.shtml?num=50461
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+2 +/–
Сообщение от Аноним (1), 05-Апр-19, 08:47
FUD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+3 +/–
	Сообщение от Аноним (5), 05-Апр-19, 10:02
	Oracle?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+1 +/–
	Сообщение от Аноним (10), 05-Апр-19, 10:22
	Oracle, Percona и другие клоноделы записнушки-переростка.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+4 +/–
Сообщение от trolleybus (?), 05-Апр-19, 09:39
> CVE-2019-9193 > Published Date: 04/01/2019 Это точно была не первоапрельская шутка?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
Сообщение от Аноним (3), 05-Апр-19, 09:47
>"COPY TO/FROM PROGRAM" является штатной функциональностью, Очень жду когда SQL базы научатся прожигать CD-R диски. Такая дыра в функциональности!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+8 +/–
	Сообщение от Аноним (4), 05-Апр-19, 10:01
	Про зияющие дыры в безопасности забыли. Любой хакер, повязав вооруженную охрану на входе и сломав замок в серверную монтировкой, может зайти с правами администратора с консоли сервера и зная пароль рута СУБД и сделать с ней, что захочет!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+4 +/–
	Сообщение от 1 (??), 05-Апр-19, 10:06
	Ты как в 20 веке - "в серверную" ... Как ты в цоде найдёшь нужное тебе лезвие ?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+2 +/–
	Сообщение от доктор Хаус (?), 05-Апр-19, 10:15
	притащу за патлы одмина с паяльником в анусе - не только покажет, но и сам всё сделает
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+3 +/–
	Сообщение от Аноним (3), 05-Апр-19, 11:45
	>притащу за патлы одмина А ты его найдешь в пригороде Джайпура?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	7. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
	Сообщение от Аноним (3), 05-Апр-19, 10:15
	>Про зияющие дыры в безопасности забыли. Любой хакер, повязав вооруженную охрану на входе и сломав замок в серверную монтировкой, может зайти с правами администратора с консоли сервера и зная пароль рута СУБД и сделать с ней, что захочет! Или вставив кавычку" в поле поиска на вебсайте.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
Сообщение от Аноним (10), 05-Апр-19, 10:21
Это кто-то ситуацию с мысклем на PG отзеркалил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
Сообщение от Аноним (11), 05-Апр-19, 10:47
> Данные заявления не соответствуют действительности, описанная проблема надумана и CVE-2019-9193 на деле не является уязвимостью. Идентификатор уязвимости CVE-2019-9193 выдан по недосмотру. Все что нужно знать о CVE.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
	Сообщение от Аноним (15), 07-Апр-19, 08:38
	Это вы ещё не видели китайцев, несколько месяцев назад зарегистрировавших серию CVE для "уязвимостей" в... gcc и binutils!
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	–3 +/–
Сообщение от fi2fi (?), 05-Апр-19, 12:04
проблема в общем в том чтоб настроить права в Pg, да в любой другой СУБД,  семь потов сойдет - и есть желания просто дать superuser и не париться. ))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
Сообщение от KonstantinB (ok), 05-Апр-19, 22:08
Ждем CVE на CREATE EXTENSION.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	–1 +/–
Сообщение от лютый жабист__ (?), 08-Апр-19, 09:11
Кто-то ещё пользуется поцгресом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
	Сообщение от KonstantinB (ok), 10-Апр-19, 05:30
	Да, разумеется. А какие варианты-то еще, кроме мыскля?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
	Сообщение от лютый жабист__ (?), 10-Апр-19, 07:37
	> Да, разумеется. А какие варианты-то еще, кроме мыскля? Тяжело жить на планете с двумя СУБД. А у нас всё хорошо с этим.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Разработчики PostgreSQL опровергли наличие уязвимости в COPY..."	+/–
	Сообщение от KonstantinB (ok), 10-Апр-19, 19:27
	Опенсорсных, реляционных и достаточно широко распространенных - да, две. А у вас что?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема