ag娱乐平台
你好,游客 登录 注册
背景:
阅读新闻

PostgreSQL否认CVE-2019-9193为安全漏洞

[日期:2019-04-13] 来源:Linux公社  作者:醉落红尘 [字体: ]

ag娱乐平台,——这跟你最近游戏里的新创意有关吗?比如马里奥制造和《超级马里奥跑酷》里面的“建造蘑菇王国”。

据悉,特展将于12月27日正式与公众见面,届时民众将在成都博物馆领略到敦煌石窟艺术的魅力与风采。(完)美迈阿密餐厅12人被劫持?特警出动后发现被骗  企业软件收入规模的排序活动,是为了宣传我国软件产业发展成绩,提高企业知名度和竞争力,引导软件产业做大做强。下一步,信息产业部经济体制改革与经济运行司将进一步组织调查研究,了解业界的需求和反映,积极学习国际上企业排序的先进模式,不断完善软件企业排序的科学性、公平性和可操作性;也请各地主管部门、软件企业和广大新闻媒体积极参与,共同将排序活动打造成促进软件工作的一项,成为行业主管部门和重点企业沟通交流的重要平台,为推动产业做大做强发挥更大的作用。

最近,PostgreSQL中的任意代码执行都存在漏洞。具有数据库服务器文件读取权限的攻击者可以利用此漏洞执行任意系统命令。

PostgreSQL是一个功能强大的数据库软件,可在所有主要操作系统上运行,包括Linux,Windows,Mac OS X等。所公开的漏洞存在于命令“COPY TO / FROM PROGRAM”中,用于导入和导出数据。在“pg_read_server_files”组中的用户执行上述命令之后,可以获得数据库超级用户权限,从而执行任何系统命令。

针对这一说法,PostgreSQL于2019年4月4日正式发表声明,内容如下:

媒体中广泛提到PostgreSQL中的一个安全漏洞,编号为CVE-2019-9193。 PostgreSQL安全团队想强调这不是一个安全漏洞。我们认为CVE条目存在错误。我们已联系记者调查此问题。

COPY .. PROGRAM功能明确指出它只能由已被授予超级用户权限或默认角色pg_execute_server_program的数据库用户执行。按照设计,此功能允许被授予超级用户或pg_execute_server_program的用户执行操作,因为PostgreSQL服务器运行的操作系统用户(通常是“postgres”)。 CVE中提到的缺省角色pg_read_server_files和pg_write_server_files不授予数据库用户使用COPY .. PROGRAM的权限。

根据设计,数据库超级用户与服务器运行的操作系统用户之间不存在安全边界。因此,根据设计,不允许PostgreSQL服务器作为操作系统超级用户(例如“root”)运行。 PostgreSQL 9.3中添加的COPY .. PROGRAM的功能并未改变上述任何功能,但在已存在的相同安全边界内添加了一个新命令。

我们鼓励PostgreSQL的所有用户遵循最佳做法,即永远不会授予远程用户或其他不受信任用户的超级用户访问权限。这是系统管理中遵循的标准安全操作过程,也扩展到数据库管理。

 

相关:CVE-2019-9193,PostgreSQL任意代码执行漏洞警报  /wwwc0b7linuxidcc0b7com/Linux/2019-03/157732.htm

 

Linux公社的RSS地址/wwwc0b7linuxidcc0b7com/rssFeed.aspx

本文永久更新链接地址/wwwc0b7linuxidcc0b7com/Linux/2019-04/158083.htm

linux
相关资讯       PostgreSQL安全漏洞  CVE-2019-9193 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
日媒用动画还原南京大屠杀现场 网友:看得浑身发抖 捷龙一号小火箭首次公开 可实现24小时内快速发射 黑色系集体跳水 铁矿石、硅铁跌逾3% 网上频现05后佳作 教育人士:这是属于个性的声音 澳网协启动10亿美元项目 期望能振兴墨尔本公园 一季度苹果预计卖出了60万台HomePod 市场份额仅… 美巡赛-中国北京锦标赛首轮 王煦等四人66杆领先 韩国1月旅游逆差创新高 中国游客同比大减46% 津京德比阿奇姆彭与乔纳森谁上?泰达胜算几何? “解密”富士康工业互联网:供应链的一场生态革命 外媒:苹果所有新款iPhone 2019年都将采用OL… 俄10岁女孩跟父亲学拳击 徒手打断一棵树(图)
台湾政客想访问大陆 用什么身份比较容易? 意甲-恰10造5球库特罗内2球 AC米兰5-1进欧联正… 接种了效价不合格百白破疫苗如何补种?专家解答 外媒称高盛CEO贝兰克梵或将离职 当事人否认 江川16分北汽3-0复仇上海 四川胜八一夺联赛季军 曼联大神:曼联必须夺冠 只拿第二名是不够的 传销团伙行骗百亿:头目开千万豪车 称与马云交流 美国去年11月原油产量创纪录!2019年或挑战霸主地位 台已大势所去?台教授:大陆每年GDP增加1.4个台湾 劳动合同法修改为何暂未提上日程? 专家释疑 瓜帅:巴西坐拥曼城+利物浦箭头 真是幸福的烦恼 尴尬!白宫炫耀特朗普经济有多牛 却犯下超尴尬的错
火箭失去83.3%夺冠的机会!登哥MVP快被抢没了 股东团体称扎克伯格不懂企业管理 要求其辞去FB职务 世界首台全自动干细胞诱导培养设备诞生 由中国造 日本4至7月中暑送医数已超2017年夏季 死亡125人 人大代表邱亚夫谈“加拿大鹅”:提升民族品牌自信 利物浦又遭重创!克洛普确认后防大将赛季报销 毅腾主帅:开心积分排名提升 点名赞一将证明自己 老人档案性别错写为女 河南省社保局回绝更正申请 美报告:中国人工智能企业“吸金额”超过美国 球迷期待鲁能可引两类型外援 目前仍没确切消息 围棋AI“丽拉”的“爸爸” 不太懂围棋的程序员 在美国去哪里庆祝春节?这几座城市最值得推荐 指望“人类之星”拯救地球?这家美国公司想太多了 ag娱乐平台