Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions

Поиск

Список

Период

Сортировка

От	Ashutosh Sharma
Тема	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions
Дата	13 июня 06:09:37
Msg-id	CAE9k0P=v8y+EbSyFQJ1GbeyxM7wL14GPiqs-uVBcx8nY3X82DQ@mail.gmail.com обсуждение исходный текст
Ответ на	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions (John H <johnhyvr@gmail.com>)
Ответы	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions
Список	pgsql-hackers

Дерево обсуждения

Hi,

On Wed, Jun 12, 2024 at 11:35 PM John H <johnhyvr@gmail.com> wrote:
>
> > But, I also agree with Jelte, it should be a property of a control file, rather than a user controlled parameter,
sothat an attacker can't opt out. 
>

This will be addressed in the next patch version.

> +1. Also curious what happens if an extension author has search_path
> already set in proconfig for a function that doesn't match what's in
> the control file. I'm guessing the function one should take
> precedence.
>

Yes, if the author has explicitly set the proconfig, it will take precedence.

--
With Regards,
Ashutosh Sharma.

В списке pgsql-hackers по дате отправления:

Предыдущее

От: Peter Geoghegan
Дата: 13 июня, 05:04:04
Сообщение: Re: Harmonizing pg_bsd_indent parameter names

Следующее

От: Andrei Lepikhov
Дата: 13 июня, 06:45:38
Сообщение: Re: Removing unneeded self joins

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions

Предыдущее

Следующее