pgsql: Add missing checks to some of pageinspect's BRIN functions

Поиск

Список

Период

Сортировка

От	Alvaro Herrera
Тема	pgsql: Add missing checks to some of pageinspect's BRIN functions
Дата	31 марта 2016 г. 16:55:53
Msg-id	E1akXin-0004aF-Ep@gemulon.postgresql.org обсуждение исходный текст
Список	pgsql-committers

Дерево обсуждения

Add missing checks to some of pageinspect's BRIN functions

brin_page_type() and brin_metapage_info() did not enforce being called
by superuser, like other pageinspect functions that take bytea do.
Since they don't verify the passed page thoroughly, it is possible to
use them to read the server memory with a carefully crafted bytea value,
up to a file kilobytes from where the input bytea is located.

Have them throw errors if called by a non-superuser.

Report and initial patch: Andreas Seltenreich

Security: CVE-2016-3065

Branch
------
master

Details
-------
http://git.postgresql.org/pg/commitdiff/3e1338475ffc2eac25de60a9de9ce689b763aced

Modified Files
--------------
contrib/pageinspect/brinfuncs.c | 25 +++++++++++++++++++++++--
1 file changed, 23 insertions(+), 2 deletions(-)

В списке pgsql-committers по дате отправления:

Предыдущее

От: Stephen Frost
Дата: 31 марта 2016 г., 16:55:52
Сообщение: pgsql: Reset plan->row_security_env and planUserId

Следующее

От: Tom Lane
Дата: 31 марта 2016 г., 21:49:39
Сообщение: pgsql: Support using index-only scans with partial indexes in more case

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

pgsql: Add missing checks to some of pageinspect's BRIN functions

Предыдущее

Следующее