[ADMIN] Passwords in clear text in server log

Поиск

Список

Период

Сортировка

От	Don Seiler
Тема	[ADMIN] Passwords in clear text in server log
Дата	11 октября 2017 г. 20:30:50
Msg-id	CAHJZqBDe1-oiYtdh5pcWLAhr3jsDMFQg4miv3PYADH3YWKqZ2w@mail.gmail.com обсуждение исходный текст
Ответы	Re: [ADMIN] Passwords in clear text in server log (Tom Lane <tgl@sss.pgh.pa.us>)
Список	pgsql-admin

Дерево обсуждения

When I run a CREATE USER or ALTER USER statement and set a password for a user, that statement gets printed to the server log, along with the password, IN CLEAR TEXT. For example:

2017-10-11 09:20:40 CDT [19024]: [3-1] db=postgres,user=postgres,app=psql,client=[local] LOG: statement: CREATE USER foo PASSWORD 'bar';

2017-10-11 09:20:42 CDT [19024]: [4-1] db=postgres,user=postgres,app=psql,client=[local] LOG: statement: ALTER USER foo PASSWORD 'boo123';

These seems like a really bad security bug. Regardless of what other log statement settings you may have, there should never be a reason to print a password in plain text to the logs.

This was in Postgres 9.6.4.

Don.

Don Seiler
www.seiler.us

В списке pgsql-admin по дате отправления:

Предыдущее

От: Scott Mead
Дата: 11 октября 2017 г., 08:10:07
Сообщение: Re: [ADMIN] Can master and slave on different PG versions?

Следующее

От: Tom Lane
Дата: 11 октября 2017 г., 20:48:33
Сообщение: Re: [ADMIN] Passwords in clear text in server log

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

[ADMIN] Passwords in clear text in server log

Предыдущее

Следующее