ag娱乐平台
你好,游客 登录 注册
背景:
阅读新闻

PostgreSQL否认CVE-2019-9193为安全漏洞

[日期:2019-04-13] 来源:ag娱乐平台Linux公社  作者:醉落红尘 [字体: ]

ag娱乐平台,  UT斯达康雄心勃勃,希望中国以外的额能增加到50%,总额达到100亿美元。迈克尔·索菲说预期2004年收入将增长30%。

  互联网电视一直以低价著称,此次集体涨价后,互联网的低价优势便不会如此突出。台媒赞解放军远训创记录:空军换装轰6 有8套战法  第九城市第三季度未计入折旧、摊销、利息和税费前每股收益为人民币2.40元(约合0.30美元),上一季度未计入折旧、摊销、利息和税费前每股亏损为人民币0.22元(约合0.03美元),去年同期未计入折旧、摊销、利息和税费前每股收益为人民币0.29元(约合0.03美元)。

最近,PostgreSQL中的任意代码执行都存在漏洞。具有数据库服务器文件读取权限的攻击者可以利用此漏洞执行任意系统命令。

PostgreSQL是一个功能强大的数据库软件,可在所有主要操作系统上运行,包括Linux,Windows,Mac OS X等。所公开的漏洞存在于命令“COPY TO / FROM PROGRAM”中,用于导入和导出数据。在“pg_read_server_files”组中的用户执行上述命令之后,可以获得数据库超级用户权限,从而执行任何系统命令。

针对这一说法,PostgreSQL于2019年4月4日正式发表声明,内容如下:

媒体中广泛提到PostgreSQL中的一个安全漏洞,编号为CVE-2019-9193。 PostgreSQL安全团队想强调这不是一个安全漏洞。我们认为CVE条目存在错误。我们已联系记者调查此问题。

COPY .. PROGRAM功能明确指出它只能由已被授予超级用户权限或默认角色pg_execute_server_program的数据库用户执行。按照设计,此功能允许被授予超级用户或pg_execute_server_program的用户执行操作,因为PostgreSQL服务器运行的操作系统用户(通常是“postgres”)。 CVE中提到的缺省角色pg_read_server_files和pg_write_server_files不授予数据库用户使用COPY .. PROGRAM的权限。

根据设计,数据库超级用户与服务器运行的操作系统用户之间不存在安全边界。因此,根据设计,不允许PostgreSQL服务器作为操作系统超级用户(例如“root”)运行。 PostgreSQL 9.3中添加的COPY .. PROGRAM的功能并未改变上述任何功能,但在已存在的相同安全边界内添加了一个新命令。

我们鼓励PostgreSQL的所有用户遵循最佳做法,即永远不会授予远程用户或其他不受信任用户的超级用户访问权限。这是系统管理中遵循的标准安全操作过程,也扩展到数据库管理。

 

相关:CVE-2019-9193,PostgreSQL任意代码执行漏洞警报  /wwwc0b7linuxidcc0b7com/Linux/2019-03/157732.htm

 

Linux公社的RSS地址/wwwc0b7linuxidcc0b7com/rssFeed.aspx

本文永久更新链接地址/wwwc0b7linuxidcc0b7com/Linux/2019-04/158083.htm

linux
本文评论   ag娱乐平台查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
娃哈哈继康师傅统一之后也要涨价?官方出面辟谣 特雷莎梅公布英国新脱欧政策 停止采用欧盟法律 农业部:华北出现降水天气 墒情改善利于春播开展 女子离奇中毒送进ICU 内裤碰到的皮肤全烂了 戛纳节将台演员张震国籍列“中国” 台玻璃心碎了 王大雷:失去一个很重要的球迷 全队现在很悲痛 逐一告诉你欧洲各大联赛冠军都是谁 空姐打网约车遇害滴滴平台有无责任?法律专家回应 新华社调查瓜子网:没有中间商赚差价 仅听起来美好 孩子智商130成绩却排倒数 背后原因家长都没想到 兴业投资:特朗普贸易战忧虑重燃 市场情绪大反转 非洲“硅谷”崛起引来美欧风投的注意
证监会拟修改退市制度 这些情形股票或被强制退市 黄金联赛厦门站-lion King胜three poi… 特朗普“碰瓷”中国既定开放政策:说成自己功劳 新京报刊文谈刘忠林案判无罪:关押最久不能没交代 中国女排获赠《中国奥运冠军风采诗词三卷集》 你的微信被工作绑架了吗? 马拉松选手心肌梗塞 直升机空运急救 避免上市公司追热点酿成悲剧 公示为社科院学部委员的正部级 曾两获经济学大奖 华盛顿赛库兹娃完胜晋级 韩馨蕴遭本土球员横扫 瑞士军需物资出口增长 亚洲正日益成为主要买家 吉林原总督学第三次减刑 此前因受贿千万被判无期
挪威芬兰将在北极圈内修铁路 通往中国的新走廊? 青藏科考将登顶珠峰首次取回雪冰样品:一小时完成 全国已有86名70后干部担任地市党政“一把手” 企业公众号“召唤”葫芦娃做推广 被判赔10万(图) 朝鲜驻新加坡大使馆:朝美首脑会谈将顺利举行 分析:iPhone X是3月最畅销手机 红米5A排第三 日外相河野太郎拟5月下旬访美会晤美国务卿蓬佩奥 普吉沉船后泰旅游业者望对中国免签证费:半年就行 中国铁塔拟8月8日登陆港股 预估募资净额约602亿港元 竹竿男19+18雄鹿破篮网 老鹰惊险翻盘客胜纽约 暴利的数字货币交易平台:年入超50亿 与监管打擦边球 西南新贵2年合同续签防守悍将 他曾是詹皇侍卫 超级碗魔咒再度应验 布雷迪连破纪录却遭里程悲 ag娱乐平台