PostgreSQL ออก Patch อุดช่องโหว่รหัสผ่านรั่ว แนะให้อัปเดตโดยด่วน

PostgreSQL ได้ออก Security Patch สำหรับรุ่น 9.6.4, 9.5.8, 9.4.13, 9.3.18 และ 9.2.22 มาด้วยกันทั้งสิ้น 3 รายการ โดยเป็นช่องโหว่เกี่ยวกับประเด็นด้านรหัสผ่านและสิทธิ์ของผู้ใช้งานทั้งสิ้น ดังต่อไปนี้

Credit: PostgreSQL

 

ในช่องโหว่แรกที่มีรหัส CVE-2017-7547 นั้นทำให้ผู้ที่มีสิทธิ์ยืนยันตัวตนเข้าถึง PostgreSQL สามารถทำการเรียกข้อมูลรหัสผ่านของผู้ใช้งานรายอื่นๆ บน Server เครื่องเดียวกันออกมาได้ จากบั๊กบนระบบ User Mapping

ช่องโหว่ถัดมาคือ CVE-2017-7546 ซึ่งเปิดให้มีการใช้รหัสผ่านแบบว่างเปล่าได้ในฝั่ง Server ในขณะที่ libpq บนฝั่ง Client นั้นกลับไม่สามารถใช้รหัสผ่านแบบว่างเปล่าได้ ทำให้ผู้ดูแลระบบหลายคนเข้าใจผิดว่าการเซ็ตรหัสผ่านให้ว่างเปล่านั้นคือการ Disable Account แต่ฝั่งผู้โจมตีนั้นกลับสามารถใช้ความเข้าใจผิดนี้ในการโจมตีได้อย่างง่ายดาย

ช่องโหว่สุดท้ายคือ CVE-2017-7548 ซึ่งเกิดจากการที่ lo_put() นั้นไม่ได้มีการตรวจสอบ Permission ทำให้ผู้ใช้งานทุกคนสามารถทำการเปลี่ยนแปลงข้อมูลใน Object ขนาดใหญ่ได้

นอกจากนี้ในอัปเดตล่าสุดนี้ยังได้มีการแก้ไขบั๊กอื่นๆ อีกกว่า 50 รายการ และยังเตือนถึงการที่ PostgreSQL 9.2 จะประกาศ End of Life ภายในเดือนกันยายน 2017 นี้ด้วย ลองอ่านรายละเอียดฉบับเต็มกันได้ที่ https://www.postgresql.org/about/news/1772/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/08/13/postgresql_password_flaws_fixed/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

5 โปรเจกต์ที่น่าจับตามองสำหรับ Data Science และ Machine Learning บน GitHub เดือนมกราคม 2018

GitHub นั้นถือเป็นเครื่องมือยอดฮิตสำหรับโปรแกรมเมอร์ซึ่งหลักๆ นั้นนำมาใช้เพื่อบริหารจัดการเวอร์ชันของโค้ดในโปรเจกต์ต่างๆ นอกจากนั้นยังสามารถเปิดแชร์ให้ผู้อื่นได้ รวมถึงผู้สนใจสามารถทำการผนวกโค้ด (Forking) เข้ามาในโปรเจกต์ใหม่ของตนเองได้ซึ่งยังสามารถรับการอัปเดตหากเจ้าของต้นฉบับนั้นมีการเปลี่ยนแปลงโค้ด ในหัวข้อนี้เราจะมาพาไปดูโปรเจกต์สำหรับชาว Data Science และ AI เจ๋งๆ ในเดือนมกราคมที่ผ่านมาได้รับชมกัน