Cacat Password yang Ditambal di Postgresql - Kingdom Taurus News - Technology News
Pembaruan keamanan yang dirilis minggu lalu oleh pengembang sistem manajemen basis data relasional open source PostgreSQL menangani tiga kerentanan dan lebih dari 50 bug dilaporkan dalam tiga bulan terakhir.
PostgreSQL, yang saat ini sistem database terpopuler keempat, dipengaruhi oleh kerentanan terkait beberapa metode otentikasi yang menerima kata kunci kosong.

Dilansir dari Securityweek,
Pengembang memperbaiki masalah dengan melarang password kosong untuk semua metode otentikasi.
"Libpq, dan dengan ekstensi apapun driver koneksi yang menggunakan libpq, mengabaikan password kosong dan tidak mengirimkannya ke server. Bila menggunakan libpq atau driver koneksi berbasis libpq untuk melakukan metode otentikasi berbasis password, akan terlihat bahwa menyetel kata sandi kosong akan sama dengan menonaktifkan login kata sandi. Namun, dengan menggunakan driver koneksi non-libpq dapat memungkinkan klien memasukkan kata sandi kosong untuk login, "jelas PostgreSQL.
Kelemahannya, yang dilacak sebagai CVE-2017-7546, dianggap sebagai masalah yang paling serius yang ditambal dengan update keamanan terbaru, dengan rating kelas "A", yang mengindikasikan bahwa hal itu dapat dimanfaatkan untuk eskalasi hak istimewa tanpa memerlukan login terlebih dahulu.
Masalah terkait sandi lainnya adalah CVE-2017-7547, yang dapat menyebabkan kata kunci bocor ke pengguna yang tidak diotorisasi. Ini adalah upaya kedua untuk menambal cacat ini, yang pada awalnya dilacak sebagai CVE-2017-7486.
Pengembang PostgreSQL menunjukkan bahwa penerapan patch hanya akan mengatasi masalah di database baru; Serangkaian langkah perlu diambil untuk menyelesaikan masalah dalam database yang ada.
Kerentanan ketiga, yang dilacak sebagai CVE-2017-7548, dapat dimanfaatkan oleh pengguna untuk mengubah data dalam suatu objek besar. Kelemahan itu ada karena kurangnya pemeriksaan izin yang terkait dengan fungsi lo_put (), yang seharusnya memerlukan izin yang sama aslowrite ().
Tom Lane, Michael Paquier, Heikki Linnakangas dan Noah Misch telah dikreditkan untuk menemukan kerentanan ini.
Pengguna PostgreSQL telah disarankan untuk segera menginstalasi mereka secepat mungkin ke versi 9.6.4, 9.5.8, 9.4.13, 9.3.18 dan 9.2.22. Pengguna telah diberi peringatan bahwa versi 9.2 akan mencapai akhir kehidupan pada bulan September 2017 dan kemungkinan hanya akan menerima satu update lagi.

Cacat Password yang Ditambal di Postgresql

Baca Juga

Pembaruan keamanan yang dirilis minggu lalu oleh pengembang sistem manajemen basis data relasional open source PostgreSQL menangani tiga kerentanan dan lebih dari 50 bug dilaporkan dalam tiga bulan terakhir.
PostgreSQL, yang saat ini sistem database terpopuler keempat, dipengaruhi oleh kerentanan terkait beberapa metode otentikasi yang menerima kata kunci kosong.

Dilansir dari Securityweek,
Pengembang memperbaiki masalah dengan melarang password kosong untuk semua metode otentikasi.
"Libpq, dan dengan ekstensi apapun driver koneksi yang menggunakan libpq, mengabaikan password kosong dan tidak mengirimkannya ke server. Bila menggunakan libpq atau driver koneksi berbasis libpq untuk melakukan metode otentikasi berbasis password, akan terlihat bahwa menyetel kata sandi kosong akan sama dengan menonaktifkan login kata sandi. Namun, dengan menggunakan driver koneksi non-libpq dapat memungkinkan klien memasukkan kata sandi kosong untuk login, "jelas PostgreSQL.
Kelemahannya, yang dilacak sebagai CVE-2017-7546, dianggap sebagai masalah yang paling serius yang ditambal dengan update keamanan terbaru, dengan rating kelas "A", yang mengindikasikan bahwa hal itu dapat dimanfaatkan untuk eskalasi hak istimewa tanpa memerlukan login terlebih dahulu.
Masalah terkait sandi lainnya adalah CVE-2017-7547, yang dapat menyebabkan kata kunci bocor ke pengguna yang tidak diotorisasi. Ini adalah upaya kedua untuk menambal cacat ini, yang pada awalnya dilacak sebagai CVE-2017-7486.
Pengembang PostgreSQL menunjukkan bahwa penerapan patch hanya akan mengatasi masalah di database baru; Serangkaian langkah perlu diambil untuk menyelesaikan masalah dalam database yang ada.
Kerentanan ketiga, yang dilacak sebagai CVE-2017-7548, dapat dimanfaatkan oleh pengguna untuk mengubah data dalam suatu objek besar. Kelemahan itu ada karena kurangnya pemeriksaan izin yang terkait dengan fungsi lo_put (), yang seharusnya memerlukan izin yang sama aslowrite ().
Tom Lane, Michael Paquier, Heikki Linnakangas dan Noah Misch telah dikreditkan untuk menemukan kerentanan ini.
Pengguna PostgreSQL telah disarankan untuk segera menginstalasi mereka secepat mungkin ke versi 9.6.4, 9.5.8, 9.4.13, 9.3.18 dan 9.2.22. Pengguna telah diberi peringatan bahwa versi 9.2 akan mencapai akhir kehidupan pada bulan September 2017 dan kemungkinan hanya akan menerima satu update lagi.

Related Posts :

About me: Penulis teknologi dan menyukai game mobile.

Membahas Tentang: Berita Teknologi, Smartphone, Game, dan Harga Smartphone.
Contact us:
ktn.info1@gmail.com

No comments

How do you think, about the article above?