| От | Tom Lane |
|---|---|
| Тема | Re: ALTER ROLE/DATABASE RESET ALL versus security |
| Дата | |
| Msg-id | 6804.1266604249@sss.pgh.pa.us обсуждение |
| Ответ на | Re: ALTER ROLE/DATABASE RESET ALL versus security (Alvaro Herrera <alvherre@commandprompt.com>) |
| Ответы |
Re: ALTER ROLE/DATABASE RESET ALL versus security
|
| Список | pgsql-hackers |
Alvaro Herrera <alvherre@commandprompt.com> writes:
> Tom Lane wrote:
>> It looks to me like the code in AlterSetting() will allow an ordinary
>> user to blow away all settings for himself. Even those that are for
>> SUSET variables and were presumably set for him by a superuser. Isn't
>> this a security hole? I would expect that an unprivileged user should
>> not be able to change such settings, not even to the extent of
>> reverting to the installation-wide default.
> Yes, it is, but this is not a new hole. This works just fine in 8.4
> too:
So I'd argue for changing it in 8.4 too.
regards, tom lane
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера