Re: Advisory on possibly insecure security definer functions
В списке pgsql-general по дате отправления:
| От | Tomasz Ostrowski |
|---|---|
| Тема | Re: Advisory on possibly insecure security definer functions |
| Дата | |
| Msg-id | 20070220123420.GB9773@batory.org.pl обсуждение |
| Ответ на | Advisory on possibly insecure security definer functions (Peter Eisentraut <peter_e@gmx.net>) |
| Список | pgsql-general |
On Wed, 14 Feb 2007, Peter Eisentraut wrote:
> By installing functions or operators with appropriate signatures in
> other schemas, users can then redirect any function or operator
> call in the function code to implementations of their choice
> [snip]
> The proper fix for this problem is to insert explicit SET search_path
> commands into each affected function to produce a known safe schema
> search path.
This fix is not enough in certain common configurations. I've sent a
proof of concept to security<at>postgresql.org, but I won't disclose
it before I'm allowed to by security team.
Regards
Tometzky
--
...although Eating Honey was a very good thing to do, there was a
moment just before you began to eat it which was better than when you
were...
Winnie the Pooh
В списке pgsql-general по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера