poważny błąd w postgresie
wykryto właśnie poważny błąd w postgresie w obsłudze funkcji typu “security definer”. błąd tyczy się wszystkich wersji postgresa od kiedy to wprowadzono - czyli od 7.3.
błąd pozwala na wykonanie dowolnego kodu z podwyższonymi uprawnieniami i daje się wykorzystać podobno w przypadku większości funkcji zdefiniowany jako security definer (ale nie wszystkich).
na szybko kod można poprawić i zabezpieczyć ustawiając na sztywno w funkcji search_path’a.
prace nad poprawieniem tego trwają.
February 14th, 2007 at 15:06
czy do tego advisory będzie opublikowany patch do zaaplikowania na developerów?