Комментарии 7
Это не бага — это фича ;)
0
Я не специалист. По системе оценок CVSS проблема определённо получила почти наивысший класс 9/10. А в итоге Вы утверждаете, что это проблема кривого администрирования. При этом Вы говорите, что расплавляться не стоит и надо ждать исправлений. Помогите понять…
0
Собственно, для этого статья и была написана. Эксперты, которые заявили «уязвимость» совершенно формально подошли к возможным последствиям, не разобравшись в сути фичи. В описании самой CVE написано, что она спорная. То есть при правильном администрировании угрозы нет. С тем же успехом пользователь с правами системного пользователя postgres может сделать все, что захочет.
Последний абзац про «не расслабляться» относится в целом к тому, что нужно проверять наличие обновлений не только с точки зрения функциональных возможностей, но и информации об уязвимостях и возможностях их обхода, если не проводить обновление версии.
Последний абзац про «не расслабляться» относится в целом к тому, что нужно проверять наличие обновлений не только с точки зрения функциональных возможностей, но и информации об уязвимостях и возможностях их обхода, если не проводить обновление версии.
+2
Значит я правильно понял. Ну а то, что надо держать руки на пульсе обновлений — безусловно.
Блин, как же надоели эти выкрутасы. Мы часто слышим новости об уязвимостях на пример в IE от Майкрософт, которые сама компания не признает оными, но которыми так успешно пользуются специалисты. А тут наоборот, CVSS небрежно/непрофессионально признает ошибкой то, что по сути является этикетом администрирования. Мдеуж.
Блин, как же надоели эти выкрутасы. Мы часто слышим новости об уязвимостях на пример в IE от Майкрософт, которые сама компания не признает оными, но которыми так успешно пользуются специалисты. А тут наоборот, CVSS небрежно/непрофессионально признает ошибкой то, что по сути является этикетом администрирования. Мдеуж.
0
Это уязвимость из серии «суперпользователь может стереть ВСЁ!», требующей локальных прав суперпользователя для эксплуатации. Так примерно.
+3
Новость слегка устарела. По вашей ссылке на сайте Trustwave написано:
То есть уже 2 недели назад они заявили об отзыве CVE-2019-9193. Перевод: «по дальнейшем рассмотрении и обсуждении с сообществом PostgreSQL мы не считаем, что это уязвимость в том смысле, что это security bug в ПО».
И по ссылке на CVE-2019-9193 тоже написано, что эта уязвимость «DISPUTED» (оспариваемая), и что «представители третьей стороны заявляют что это не проблема, т.к. данная функциональность ведет себя как положено в соответствии с её назначением».
EDIT (9.April.2019): We have applied for a retraction of CVE-2019-9193 previously associated with this post. Upon further review and through discussions with the PostgreSQL community we do not believe this is a vulnerability in the sense that it is a security bug in the software. As such, it does not rise to the level of a CVE. However, we still believe that the «COPY TO/FROM PROGRAM» feature adds risk to many PostgreSQL environments, so we are leaving the rest of this content intact.
То есть уже 2 недели назад они заявили об отзыве CVE-2019-9193. Перевод: «по дальнейшем рассмотрении и обсуждении с сообществом PostgreSQL мы не считаем, что это уязвимость в том смысле, что это security bug в ПО».
И по ссылке на CVE-2019-9193 тоже написано, что эта уязвимость «DISPUTED» (оспариваемая), и что «представители третьей стороны заявляют что это не проблема, т.к. данная функциональность ведет себя как положено в соответствии с её назначением».
+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Об одной уязвимости, которой нет