博客
关于我
PostgreSQL 辟谣存在任意代码执行漏洞:消息不实
阅读量:795 次
发布时间:2023-03-03

本文共 1033 字,大约阅读时间需要 3 分钟。

PostgreSQL官方否认安全漏洞,强调COPY...PROGRAM功能的安全性

近期网络上流传着关于PostgreSQL存在任意代码执行漏洞的言论,这一问题引起了广泛关注。具体来看,拥有“pg_read_server_files”权限的攻击者是否能利用此漏洞获取超级用户权限并执行任意系统命令,这一说法是否属实?

PostgreSQL安全团队的官方声明

2019年4月4日,PostgreSQL官方发布了正式声明,否认了上述安全漏洞的存在。他们强调,认为CVE-2019-9193的报告是错误的,并已与CVE报告者联系,以调查这一误报的原因。以下是声明的主要内容:

  • COPY...PROGRAM功能的设计原则

    COPY...PROGRAM功能仅可由授予超级用户权限或“pg_execute_server_program”角色的数据库用户执行。根据设计,这一功能允许这些用户作为PostgreSQL服务器的操作系统用户(通常是“postgres”)执行操作。需要注意的是,默认角色“pg_read_server_files”和“pg_write_server_files”不会赋予数据库用户使用COPY...PROGRAM的权限。

  • 安全边界的设计

    在PostgreSQL的设计中,数据库超级用户与运行数据库服务的操作系统用户之间并没有不同的安全边界。此外,PostgreSQL服务器本身不允许以操作系统超级用户(如“root”)的身份运行。这种设计原则在PostgreSQL 9.3中加入COPY...PROGRAM功能后,并未改变。

  • 最佳安全实践的建议

    官方建议用户遵循最佳实践,即绝不应将超级用户权限授予远程用户或不可信的内部用户。这是数据库管理中的标准安全操作流程。

  • 进一步的技术支持

    对于这一问题,PostgreSQL团队表示愿意通过社区官网与相关人员进行进一步交流和解答。

  • 关于CVE-2019-9193的调查

    针对CVE-2019-9193的报告,PostgreSQL团队表示,该CVE的创建是错误的,并已与报告者进行沟通,以了解这一错误报告的具体原因。他们正在仔细调查相关细节,以确保类似问题不再发生。

    总结

    PostgreSQL安全团队否认了关于任意代码执行漏洞的说法,并强调COPY...PROGRAM功能的安全性。他们呼吁用户遵守最佳安全实践,妥善管理数据库权限。对于这一事件的进一步细节,建议关注PostgreSQL官方的声明和技术支持渠道。

    转载地址:http://vixfk.baihongyu.com/

    你可能感兴趣的文章
    POJ 3253 Fence Repair C++ STL multiset 可解 (同51nod 1117 聪明的木匠)
    查看>>
    Qt笔记——控件总结
    查看>>
    poj 3262 Protecting the Flowers 贪心
    查看>>
    poj 3264(简单线段树)
    查看>>
    Qt笔记——布局管理三件套分割窗口、停靠窗口和堆栈窗口
    查看>>
    poj 3277 线段树
    查看>>
    POJ 3349 Snowflake Snow Snowflakes
    查看>>
    POJ 3411 DFS
    查看>>
    poj 3422 Kaka's Matrix Travels (费用流 + 拆点)
    查看>>
    Qt笔记——官方文档全局定义(二)Functions函数
    查看>>
    POJ 3468 A Simple Problem with Integers
    查看>>
    poj 3468 A Simple Problem with Integers 降维线段树
    查看>>
    poj 3468 A Simple Problem with Integers(线段树 插线问线)
    查看>>
    poj 3485 区间选点
    查看>>
    poj 3518 Prime Gap
    查看>>
    poj 3539 Elevator——同余类bfs
    查看>>
    Qt笔记——官方文档全局定义(三)Macros宏
    查看>>
    poj 3628 Bookshelf 2
    查看>>
    Qt笔记——官方文档全局定义(一)Types数据类型
    查看>>
    POJ 3670 DP LIS?
    查看>>