The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление PostgreSQL с устранением уязвимостей "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от opennews (?), 14-Май-21, 12:24 
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL:  13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12  - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55148

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление PostgreSQL с устранением уязвимостей "  –4 +/
Сообщение от клавиатур (?), 14-Май-21, 12:24 
Дважды наблюдал как пробивали за короткий срок постгрес выставленный опой наружу в инет с последующим заражением убунты. Навешивали майнер + брутфорс паролей по ссш на другие машины в подсети.
Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление PostgreSQL с устранением уязвимостей "  +20 +/
Сообщение от Аноним (2), 14-Май-21, 12:45 
Надеюсь на третий раз ты все-таки смог настроить фаервол?
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление PostgreSQL с устранением уязвимостей "  –12 +/
Сообщение от клавиатур (?), 14-Май-21, 13:01 
Эксперт на линии?
На что ты там надеешся сугубо твои проблемы.
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление PostgreSQL с устранением уязвимостей "  +8 +/
Сообщение от anonymous (??), 14-Май-21, 13:17 
Я надеюсь (наверное, напрасно), что люди учатся на своих ошибках. Но нет, человечество продолжает не разочаровывать в своей тупости.
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление PostgreSQL с устранением уязвимостей "  –5 +/
Сообщение от клавиатур (?), 14-Май-21, 13:38 
Понимаю, ты тут один умный из всего человечества.
Продолжай надеятся и разочаровыватся, это самое важное.
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление PostgreSQL с устранением уязвимостей "  +1 +/
Сообщение от anonymous (??), 14-Май-21, 14:12 
> Понимаю, ты тут один умный из всего человечества.

Верно подмечено, смелый юнлинг, видно в ваших академиях не только риторике учат, но и иногда заставляют голову включать!

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление PostgreSQL с устранением уязвимостей "  +4 +/
Сообщение от Michael Shigorinemail (ok), 15-Май-21, 10:02 
1) надеюсь, это не Вы додумались выставлять зады банных в сеть, так-то это и двадцать лет назад было плоской шуткой;
2) http://tsya.ru;
3) обратите, пожалуйста, внимание на правила форума: http://wiki.opennet.ru/ForumHelp -- незачем отгавкиваться, когда человек вообще-то по существу пишет (и вдруг кому-то это ещё пригодится намотать на ус, научившись заранее на чужих шишках).

PS: #22 почитал, это стоило сразу сказать во избежание вот этого всего.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

38. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Shnorr (?), 16-Май-21, 12:15 
Апщем-то даже в мускуле стандартная схема это подключение к бд внутри ssh.

ssh по сертификату (ну или с паролем но на нестандартном порту и с port knocking)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

44. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Леголас (ok), 22-Май-21, 05:49 
А. Аршавин, залогиньтесь
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Обновление PostgreSQL с устранением уязвимостей "  +2 +/
Сообщение от Урри (ok), 14-Май-21, 13:13 
А не подскажете настройку файрвола, которая отличает нормального клиента от хакера?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Обновление PostgreSQL с устранением уязвимостей "  –3 +/
Сообщение от anonymous (??), 14-Май-21, 13:23 
iptables -F
iptables -A INPUT -p 22 --src $TRUST_NETWORK -j ACCEPT
iptables -A INPUT -p 5432 --src $POSTGRES_CLIENT -j ACCEPT
iptables -P INPUT DENY
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление PostgreSQL с устранением уязвимостей "  +4 +/
Сообщение от Аноним (16), 14-Май-21, 14:57 
А нахрена позволять цепляться к Постгресу из инета вообще кому-либо? Для своих доступ через VPN только.
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление PostgreSQL с устранением уязвимостей "  +1 +/
Сообщение от Аноним (29), 14-Май-21, 19:54 
Удорожает. Уходят деньги на людей для саппорта. Дешевле схалтурить и выставить голым портом в интернет. Но может быть важно успеть уволиться, пока поймут что сделал для проекта. Не всегда можно успеть.
Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Аноним (42), 17-Май-21, 18:43 
TLS/SSL настроить проще чем VPN и работает лучше.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

19. "Обновление PostgreSQL с устранением уязвимостей "  –1 +/
Сообщение от Аноним (-), 14-Май-21, 16:04 
вроде iptables устарел, теперь надо nftables юзать
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

28. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от llolik (ok), 14-Май-21, 19:44 
как-то так

flush ruleset
table inet filter {
    type filter hook input priority 0; policy drop;
    iif ${TRUST_NETWORK} tcp dport 22 accept;
    iif ${$POSTGRES_CLIENT} tcp dport 5432 accept;
}

Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от СеменСеменыч777 (?), 14-Май-21, 21:33 
> А не подскажете настройку файрвола

"все пропускать во всех направлениях".
фаерволлы снижают производительность сети.

> отличает нормального клиента от хакера?

туннель с проверкой сертификата (или контрольной суммы ключа)
с 0.0.0.0 на 127.0.0.1, на котором и принимает соединения дырософт.
подразумевается что хаксор ключа не имеет, а нормальный клиент - имеет.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

3. "Обновление PostgreSQL с устранением уязвимостей "  +3 +/
Сообщение от Аноним (3), 14-Май-21, 12:45 
Пароль не пробовал нормальный придумать для суперюзера или доступ ему закрыть из внешней сети?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. Скрыто модератором  –2 +/
Сообщение от клавиатур (?), 14-Май-21, 13:02 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  –1 +/
Сообщение от HeavyMetal (?), 14-Май-21, 14:36 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +/
Сообщение от Аноним (17), 14-Май-21, 15:09 
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  +/
Сообщение от Другой_Анон (?), 14-Май-21, 15:48 
Ответить | Правка | Наверх | Cообщить модератору

22. Скрыто модератором  –1 +/
Сообщение от клавиатур (?), 14-Май-21, 16:52 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  –3 +/
Сообщение от Аноним (29), 14-Май-21, 20:00 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

21. Скрыто модератором  –1 +/
Сообщение от клавиатур (?), 14-Май-21, 16:40 
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Обновление PostgreSQL с устранением уязвимостей "  +1 +/
Сообщение от Аноним (13), 14-Май-21, 14:41 
Мне интесно было бы узнать подробности (я не тролю или что-то такое).
Скажите пожалуйста - а были ли там настроены ограничени доступа по IP в hba.conf?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Обновление PostgreSQL с устранением уязвимостей "  +1 +/
Сообщение от Аноним (14), 14-Май-21, 14:51 
С ограничениями новомодное веб-приложение не работало, забили по-быстренькому 0.0.0.0 all.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление PostgreSQL с устранением уязвимостей "  –1 +/
Сообщение от клавиатур (?), 14-Май-21, 16:58 
Ответ очередного фантазера на свои фантазии.
Забыл про вебмакак написать, они еще в тренде.
Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление PostgreSQL с устранением уязвимостей "  –2 +/
Сообщение от клавиатур (?), 14-Май-21, 16:59 
Добра. Посмотри мой ответ на 7.22.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

43. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Аноним (43), 19-Май-21, 01:55 
Проблема в том что ты врёшь.
Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление PostgreSQL с устранением уязвимостей "  –1 +/
Сообщение от Аноним (26), 14-Май-21, 17:26 
Интересно как дела с марией обстоят в этом плане
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

33. "Обновление PostgreSQL с устранением уязвимостей "  –2 +/
Сообщение от Ilya Indigo (ok), 14-Май-21, 23:00 
>  Интересно как дела с марией обстоят в этом плане

В MariaDB есть прекраснейший параметр skip-networking, который вообще отрубает слушателя от сети, разрешая работать только через socket.

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление PostgreSQL с устранением уязвимостей "  –2 +/
Сообщение от YetAnotherOnanym (ok), 14-Май-21, 17:12 
> Устранение некорректных вычислений

Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт. По десять раз каждую скобку в своём коде выверил, все сроки сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно как оказывается.
У меня не с сабжем, у меня с другой софтиной было. Но тех, кто наступил - очень хорошо понимаю и им сочувствую.

Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Аноним (29), 14-Май-21, 20:03 
>> Устранение некорректных вычислений
> Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт.
> По десять раз каждую скобку в своём коде выверил, все сроки
> сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно
> как оказывается.
> У меня не с сабжем, у меня с другой софтиной было. Но
> тех, кто наступил - очень хорошо понимаю и им сочувствую.

Типа того. Иногда случается с разным софтом.

Бывает можно вовремя уверенно сказать: а у Вас вон там неясное бесперспективное сбоилово - выбрасываем или терпим с таким диагнозом.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Аноним (35), 15-Май-21, 07:58 
Епеой смысл верить мануалу, если в отладчике видно что не так? Дальше обычно нужно разобраться, почему. Иногда это баг, иногда недокументированная особенность. Ничего ужасного для процесса разработки.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

36. "Обновление PostgreSQL с устранением уязвимостей "  –1 +/
Сообщение от Аноним (35), 15-Май-21, 08:03 
Я имею в виду, что это за разработка без отладки. Даже если проблема в твоём коде, ты её гораздо быстрее найдёшь когда у тебя уже есть баг. Лучше всего расценивать весь код как твой конечно, но это не всегда возможно. Если это не на проде, то всё вообще прекрасно. На проде надо всего лишь срочно накостылять хоть что-то и никакие сроки не будут сорваны.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

40. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от Аноним (40), 17-Май-21, 13:40 
Нефиг пилить по мануалам. Мануалы-это кто-то что-то там начиркал, очень часто это вообще левый чувак, отдалённо относящийся к проекту. Тащишь чужой код-будь готов отлаживать его, и/или копаться в его исходниках. Кто сказал, что будет легко? Привет всем, кто талдычить про nih синдромы. Очень часто проще и дешевле с нуля сваять свою реализацию, чем тащить в проект тонны чужого кода и возиться потом с ним.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

41. "Обновление PostgreSQL с устранением уязвимостей "  +/
Сообщение от YetAnotherOnanym (ok), 17-Май-21, 15:20 
Вообще-то, по-разному бывает. Есть продукты очень хорошо документированнвые. И если что-то в доках не совпадает с поведением программы, пишешь в рассылку, там сразу признают косяк (ну бывает, коммит мержнули, а доку поправить не успели). А есть такие, где на доки просто забили. Приходится гуглить мэйллисты, спрашивать на форумах, лезть в код (который ещё и без комментариев) и так далее. Но там хоть сразу понимаешь, что разбираться надо самому.
А вот кода документация вроде подробная и правильная, а программа делает не то, причём не крашится, не ругается в логах, и не сразу поймёшь, что ошибка вообще есть - вот это очень удручает.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру