PostgreSQL ออก Patch อุดช่องโหว่รหัสผ่านรั่ว แนะให้อัปเดตโดยด่วน

PostgreSQL ได้ออก Security Patch สำหรับรุ่น 9.6.4, 9.5.8, 9.4.13, 9.3.18 และ 9.2.22 มาด้วยกันทั้งสิ้น 3 รายการ โดยเป็นช่องโหว่เกี่ยวกับประเด็นด้านรหัสผ่านและสิทธิ์ของผู้ใช้งานทั้งสิ้น ดังต่อไปนี้

Credit: PostgreSQL

 

ในช่องโหว่แรกที่มีรหัส CVE-2017-7547 นั้นทำให้ผู้ที่มีสิทธิ์ยืนยันตัวตนเข้าถึง PostgreSQL สามารถทำการเรียกข้อมูลรหัสผ่านของผู้ใช้งานรายอื่นๆ บน Server เครื่องเดียวกันออกมาได้ จากบั๊กบนระบบ User Mapping

ช่องโหว่ถัดมาคือ CVE-2017-7546 ซึ่งเปิดให้มีการใช้รหัสผ่านแบบว่างเปล่าได้ในฝั่ง Server ในขณะที่ libpq บนฝั่ง Client นั้นกลับไม่สามารถใช้รหัสผ่านแบบว่างเปล่าได้ ทำให้ผู้ดูแลระบบหลายคนเข้าใจผิดว่าการเซ็ตรหัสผ่านให้ว่างเปล่านั้นคือการ Disable Account แต่ฝั่งผู้โจมตีนั้นกลับสามารถใช้ความเข้าใจผิดนี้ในการโจมตีได้อย่างง่ายดาย

ช่องโหว่สุดท้ายคือ CVE-2017-7548 ซึ่งเกิดจากการที่ lo_put() นั้นไม่ได้มีการตรวจสอบ Permission ทำให้ผู้ใช้งานทุกคนสามารถทำการเปลี่ยนแปลงข้อมูลใน Object ขนาดใหญ่ได้

นอกจากนี้ในอัปเดตล่าสุดนี้ยังได้มีการแก้ไขบั๊กอื่นๆ อีกกว่า 50 รายการ และยังเตือนถึงการที่ PostgreSQL 9.2 จะประกาศ End of Life ภายในเดือนกันยายน 2017 นี้ด้วย ลองอ่านรายละเอียดฉบับเต็มกันได้ที่ https://www.postgresql.org/about/news/1772/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/08/13/postgresql_password_flaws_fixed/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sponsored Webinar: Epicor Mobile in Manufacturing and Supply Chain โดย Epicor

Epicor ขอเรียนเชิญเหล่าผู้จัดการโรงงาน, วิศวกรโรงงาน และฝ่าย IT ในธุรกิจด้านการผลิตและโรงงาน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “Epicor Mobile in Manufacturing and …

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน