Durva, jelszólopásra használható biztonsági hiba van a PostgreSQL-ben

Durva, jelszólopásra használható biztonsági hiba van a PostgreSQL-ben
2017-08-16T19:41:54+02:00
2017-08-16T19:42:33+02:00
2022-10-19T11:05:36+02:00
  • a "távoli felhasználó"-nak először is be kell lépnie, majd megnézheti egy másik felhasználó által beállított Foreign server user mappingját (egy másik szerverhez egy bejelentkezést), ami tényleg durva. de azért kevesen használnak fdw-t, és azért oda nem illik komoly user-t megadni.
    A cikkből úgy tűnik mintha valaki távolról meg tudná szerezni a szerver adminisztrátor jelszavát, de erről azért szó sincs.
    A másik bug elég apró, annyi hogy, ha vakaki üres jelszót ad meg egy felhasználónak, akkor abban a tévedésben lehet, hogy azzal nem lehet belépni, mert a libpq nem engedi. de amúgy nem így kellene jelszót törölni, vagy egy login-t letiltani.
    a harmadikkal meg a blobot lehet updatelni, ez egy kicsit komolyabb, mint a második.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd