Комментарии 7
Это не бага — это фича ;)
Я не специалист. По системе оценок CVSS проблема определённо получила почти наивысший класс 9/10. А в итоге Вы утверждаете, что это проблема кривого администрирования. При этом Вы говорите, что расплавляться не стоит и надо ждать исправлений. Помогите понять…
Собственно, для этого статья и была написана. Эксперты, которые заявили «уязвимость» совершенно формально подошли к возможным последствиям, не разобравшись в сути фичи. В описании самой CVE написано, что она спорная. То есть при правильном администрировании угрозы нет. С тем же успехом пользователь с правами системного пользователя postgres может сделать все, что захочет.
Последний абзац про «не расслабляться» относится в целом к тому, что нужно проверять наличие обновлений не только с точки зрения функциональных возможностей, но и информации об уязвимостях и возможностях их обхода, если не проводить обновление версии.
Последний абзац про «не расслабляться» относится в целом к тому, что нужно проверять наличие обновлений не только с точки зрения функциональных возможностей, но и информации об уязвимостях и возможностях их обхода, если не проводить обновление версии.
Значит я правильно понял. Ну а то, что надо держать руки на пульсе обновлений — безусловно.
Блин, как же надоели эти выкрутасы. Мы часто слышим новости об уязвимостях на пример в IE от Майкрософт, которые сама компания не признает оными, но которыми так успешно пользуются специалисты. А тут наоборот, CVSS небрежно/непрофессионально признает ошибкой то, что по сути является этикетом администрирования. Мдеуж.
Блин, как же надоели эти выкрутасы. Мы часто слышим новости об уязвимостях на пример в IE от Майкрософт, которые сама компания не признает оными, но которыми так успешно пользуются специалисты. А тут наоборот, CVSS небрежно/непрофессионально признает ошибкой то, что по сути является этикетом администрирования. Мдеуж.
Это уязвимость из серии «суперпользователь может стереть ВСЁ!», требующей локальных прав суперпользователя для эксплуатации. Так примерно.
Новость слегка устарела. По вашей ссылке на сайте Trustwave написано:
То есть уже 2 недели назад они заявили об отзыве CVE-2019-9193. Перевод: «по дальнейшем рассмотрении и обсуждении с сообществом PostgreSQL мы не считаем, что это уязвимость в том смысле, что это security bug в ПО».
И по ссылке на CVE-2019-9193 тоже написано, что эта уязвимость «DISPUTED» (оспариваемая), и что «представители третьей стороны заявляют что это не проблема, т.к. данная функциональность ведет себя как положено в соответствии с её назначением».
EDIT (9.April.2019): We have applied for a retraction of CVE-2019-9193 previously associated with this post. Upon further review and through discussions with the PostgreSQL community we do not believe this is a vulnerability in the sense that it is a security bug in the software. As such, it does not rise to the level of a CVE. However, we still believe that the «COPY TO/FROM PROGRAM» feature adds risk to many PostgreSQL environments, so we are leaving the rest of this content intact.
То есть уже 2 недели назад они заявили об отзыве CVE-2019-9193. Перевод: «по дальнейшем рассмотрении и обсуждении с сообществом PostgreSQL мы не считаем, что это уязвимость в том смысле, что это security bug в ПО».
И по ссылке на CVE-2019-9193 тоже написано, что эта уязвимость «DISPUTED» (оспариваемая), и что «представители третьей стороны заявляют что это не проблема, т.к. данная функциональность ведет себя как положено в соответствии с её назначением».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Об одной уязвимости, которой нет