PostgreSQLдеги аялуу SQL кодун pg_dump иштеткен колдонуучунун укуктары менен аткарууга мүмкүндүк берет

Акыркы үч айда аныкталган 16.4 катаны оңдогон PostgreSQL 15.8, 14.13, 13.16, 12.20, 56 бардык колдоого алынган бутактары үчүн оңдоочу жаңыртуулар түзүлдү. Башка нерселер менен катар, жаңы версиялар кооптуу деп белгиленген (2024дон 7348 кооптуу деңгээли) кемчиликти (CVE-8.8-10) жок кылат. Алсыздык pg_dump утилитасындагы жарыш шартынан улам келип чыгат, ал СББДда туруктуу объекттерди түзүү жана жок кылуу мүмкүнчүлүгү бар чабуулчуга pg_dump утилитасы иштетилген колдонуучунун укуктары менен ыктыярдуу SQL кодун аткарууга мүмкүндүк берет (көбүнчө pg_dump). ДББнын камдык көчүрмөсүн сактоо үчүн супер колдонуучу укуктары менен иштетилет).

Ийгиликтүү чабуул үчүн pg_dump утилитасы ишке кирген учурга көз салуу керек, ал ачык транзакцияны манипуляциялоо аркылуу оңой ишке ашат. Чабуул ырааттуулукту pg_dump иштетилгенде, ырааттуулуктун бар экендиги жөнүндө маалымат алынган, бирок маалыматтар чыга элек кезде ишке киргизиле турган SQL кодун аныктаган көрүнүш же тышкы таблица менен алмаштырууга чейин жетет. . Алсыздыкты бөгөттөө үчүн, pg_dump ичиндеги тутумдук эмес көрүнүштөрдү ачууга жана тышкы таблицаларга кирүүгө тыюу салган “restrict_nonsystem_relation_kind” жөндөөлөрү кошулду.

Source: opennet.ru

DDoS коргоосу, VPS VDS серверлери бар сайттар үчүн ишенимдүү хостинг сатып алыңыз 🔥 DDoS коргоосу, VPS VDS серверлери бар ишенимдүү веб-сайт хостингин сатып алыңыз | ProHoster