近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞:拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限,执行任意系统命令。
针对此言论,PostgreSQL 官方在2019年4月4日发表声明如下:互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193,PostgreSQL 安全团队强调这不是一个安全漏洞, 我们认为创建这个 CVE-2019-9193 就是个错误,而且已经和 CVE-2019-9193 的报告者联系,调查为什么会创建这个条目。 COPY .. PROGRAM 功能明确规定,只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计,此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统用户(通常是“postgres”)执行操作。 CVE 中提到的默认角色 pg_read_server_files 和 pg_write_server_files 不会授予数据库用户使用 COPY .. PROGRAM 的权限。更多内容,请关注本次专辑…… Windows 操作系统本身是不开源的,但是近日微软内核工程师 Axel Rietschin 发表了一篇博客,带大家一窥了 Windows 10 内核的魅力。Axel 介绍,Windows 10 与 Windows 8.x、7、Vista、XP、2000 和 NT 的代码库是相同的,其中每一代都在之前的基础上进行重大的重构,并增加大量新功能,改进性能和硬件支持,此外还有安全性的提升,同时保持非常高的后向兼容性。
目前在 GitHub 上其实可以找到 Windows 内核研究的泄露副本,虽然这些代码已经过时且很不完整,但它们还是具有很高的研究价值。比如 wrk-v1.2/base/ntos/config 源码实现了一个大名鼎鼎的内核组件配置管理器 Registry,也就是注册表,它在内部称被为 Cm。 其实 Axel 这个博客是在回答一个问题:“Windows 10 是由什么语言写就的?”他介绍,ntoskrnl.exe 内核大部分是使用 C 编写的,在内核模式下运行的大多数内容也是用 C 编定的,包括文件系统、网络与驱动程序等。其中也包含一些 C++ 代码,而越靠近用户模式、越接近新的源码时,C 的使用变得越来越少,反之 C++ 变多。 具体看一下 Windows 10“DVD”的源码,作者猜测其中 98% 由 C 和 C++ 写就,而 C 占据大比例。更多相关内容,请关注本次专辑…… 目前处于开发频道的 Chrome OS 最新版本 75.0.3759.4 为 Linux 应用提供了完整的 USB 支持。科技极客 Keith I Myers 首先披露了这一消息,他在博客中写到:“现在可以将 USB 设备联结到 Crostini(Chrome OS 的命令终端)实例中。这不仅仅局限于 USB 闪存,还包括支持 Linux 的任何类型 USB 设备。”
Keith I Myers 称他亲自使用了 3D 打印机、Arduino 与英特尔 Movidius 计算棒(Compute Stick)进行了测试,他确认这也将最终允许在 Android 手机上访问 adb 和 fastboot。 受此影响,今后每当将 USB 等设备连接到 Chromebook 时,通知区域都会弹出提示。可以打开 Chrome OS 设置,选择“Linux Beta”和“USB 首选项”来查看分配给 Linux 实例的设备,也可以通过运行命令“lsusb”查看 Linux 终端中的设备。 |
