February 14th, 2007 by depesz | Tags: | 1 comment »
Did it help? If yes - maybe you can help me?

wykryto właśnie poważny błąd w postgresie w obsłudze funkcji typu “security definer". błąd tyczy się wszystkich wersji postgresa od kiedy to wprowadzono – czyli od 7.3.

błąd pozwala na wykonanie dowolnego kodu z podwyższonymi uprawnieniami i daje się wykorzystać podobno w przypadku większości funkcji zdefiniowany jako security definer (ale nie wszystkich).

na szybko kod można poprawić i zabezpieczyć ustawiając na sztywno w funkcji search_path'a.

prace nad poprawieniem tego trwają.

  1. One comment

  2. # cezio
    Feb 14, 2007

    czy do tego advisory będzie opublikowany patch do zaaplikowania na developerów?

Leave a comment