Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions

Поиск

Список

Период

Сортировка

От	Alexander Kukushkin
Тема	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions
Дата	11 июня 15:56:26
Msg-id	CAFh8B==D3Q_Ajnf-Lw5M_mJ7t1=dtQfpk8aZ_qxc4FiuYUzdmA@mail.gmail.com обсуждение исходный текст
Ответ на	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions (Ashutosh Sharma <ashu.coek88@gmail.com>)
Ответы	Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions
Список	pgsql-hackers

Дерево обсуждения

Hi,

On Tue, 11 Jun 2024 at 14:50, Ashutosh Sharma <ashu.coek88@gmail.com> wrote:

If the author has configured the search_path for any desired function,
using this option with the CREATE EXTENSION command will not affect
those functions.

Then effectively this feature is useless.

Now attackers can just set search_path for the current session.

With this feature they will also be able to influence search_path of not protected functions when they create an extension.

Regards,

Alexander Kukushkin

В списке pgsql-hackers по дате отправления:

Предыдущее

От: Ashutosh Sharma
Дата: 11 июня, 15:49:56
Сообщение: Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions

Следующее

От: Ranier Vilela
Дата: 11 июня, 16:01:25
Сообщение: Re: Improve the granularity of PQsocketPoll's timeout parameter?

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

Re: Addressing SECURITY DEFINER Function Vulnerabilities in PostgreSQL Extensions

Предыдущее

Следующее