PostgreSQL ออก Patch อุดช่องโหว่รหัสผ่านรั่ว แนะให้อัปเดตโดยด่วน

PostgreSQL ได้ออก Security Patch สำหรับรุ่น 9.6.4, 9.5.8, 9.4.13, 9.3.18 และ 9.2.22 มาด้วยกันทั้งสิ้น 3 รายการ โดยเป็นช่องโหว่เกี่ยวกับประเด็นด้านรหัสผ่านและสิทธิ์ของผู้ใช้งานทั้งสิ้น ดังต่อไปนี้

Credit: PostgreSQL

 

ในช่องโหว่แรกที่มีรหัส CVE-2017-7547 นั้นทำให้ผู้ที่มีสิทธิ์ยืนยันตัวตนเข้าถึง PostgreSQL สามารถทำการเรียกข้อมูลรหัสผ่านของผู้ใช้งานรายอื่นๆ บน Server เครื่องเดียวกันออกมาได้ จากบั๊กบนระบบ User Mapping

ช่องโหว่ถัดมาคือ CVE-2017-7546 ซึ่งเปิดให้มีการใช้รหัสผ่านแบบว่างเปล่าได้ในฝั่ง Server ในขณะที่ libpq บนฝั่ง Client นั้นกลับไม่สามารถใช้รหัสผ่านแบบว่างเปล่าได้ ทำให้ผู้ดูแลระบบหลายคนเข้าใจผิดว่าการเซ็ตรหัสผ่านให้ว่างเปล่านั้นคือการ Disable Account แต่ฝั่งผู้โจมตีนั้นกลับสามารถใช้ความเข้าใจผิดนี้ในการโจมตีได้อย่างง่ายดาย

ช่องโหว่สุดท้ายคือ CVE-2017-7548 ซึ่งเกิดจากการที่ lo_put() นั้นไม่ได้มีการตรวจสอบ Permission ทำให้ผู้ใช้งานทุกคนสามารถทำการเปลี่ยนแปลงข้อมูลใน Object ขนาดใหญ่ได้

นอกจากนี้ในอัปเดตล่าสุดนี้ยังได้มีการแก้ไขบั๊กอื่นๆ อีกกว่า 50 รายการ และยังเตือนถึงการที่ PostgreSQL 9.2 จะประกาศ End of Life ภายในเดือนกันยายน 2017 นี้ด้วย ลองอ่านรายละเอียดฉบับเต็มกันได้ที่ https://www.postgresql.org/about/news/1772/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/08/13/postgresql_password_flaws_fixed/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure DNS สนับสนุน CAA record และ IPv6 Nameservers แล้ว

Azure ได้ออกมาประกาศสนับสนุน DNS Features ที่สามารถรองรับการใช้งาน CAA Record และ IPv6 Nameserver ได้แล้ว

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …