Přihlášení | Registrace

napište » Zprávičky

Vývoj renderovacího jádra Servo (08/2025)

dnes 13:55 | Komunita

Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.

Ladislav Hagara | Komentářů: 0

V Rusku bude povinné předinstalovávat na telefony komunikační aplikaci MAX

dnes 13:11 | IT novinky

Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.

Ladislav Hagara | Komentářů: 2

Novinky od PINE64 - 08/2025

dnes 04:22 | IT novinky

Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.

Ladislav Hagara | Komentářů: 1

Zig 0.15.1

včera 22:22 | Nová verze

Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Před sedmi lety společnost Valve představila Proton

včera 21:55 | Komunita

Před sedmi lety společnost Valve představila fork projektu Wine s názvem Proton umožňující v Linuxu přímo ze Steamu hrát počítačové hry do té doby běžící pouze ve Windows. Aktuální přehled podporovaných her na stránkách ProtonDB

Ladislav Hagara | Komentářů: 0

Duck.ai rozšířen o GPT-5 mini

včera 14:55 | IT novinky

Společnost DuckDuckGo rozšířila svůj AI chat Duck.ai o GPT-5 mini (𝕏). Duck.ai umožňuje anonymní přístup bez vytváření účtů k několika modelům umělé inteligence. Aktuálně k GPT-4o mini, GPT-5 mini, Llama 4 Scout, Claude Haiku 3.5 a Mistral Small 3.

Ladislav Hagara | Komentářů: 5

DOM-based Extension Clickjacking: Data ve správcích hesel v ohrožení

včera 12:44 | Bezpečnostní upozornění

Marek Tóth v příspěvku DOM-based Extension Clickjacking: Data ve správcích hesel v ohrožení na svém blogu popsal novou clickjacking techniku s několika variantami útoků a otestoval ji proti 11 správcům hesel. Výsledkem bylo nalezení několika 0-day zranitelností, které mohly ovlivnit uložená data desítek milionů uživatelů. Jedno kliknutí kdekoliv na webové stránce kontrolované útočníkem umožňovalo ukrást uživatelská data ze

… více »

Ladislav Hagara | Komentářů: 1

Made by Google 2025: telefony Pixel 10, hodinky Pixel Watch 4 a sluchátka Pixel Buds 2a

20.8. 21:11 | IT novinky

Na dnešní akci Made by Google 2025 (YouTube) byly představeny telefony Pixel 10 s novým čipem Google Tensor G5 a novými AI funkcemi, hodinky Pixel Watch 4 a sluchátka Pixel Buds 2a.

Ladislav Hagara | Komentářů: 25

LibreOffice 25.8

20.8. 14:11 | Nová verze

The Document Foundation oznámila vydání nové major verze 25.8 svobodného kancelářského balíku LibreOffice. Podrobný přehled nových vlastností i s náhledy v poznámkách k vydání (cs) a také na Youtube a PeerTube.

Ladislav Hagara | Komentářů: 17

Zeek 8.0.0

20.8. 04:00 | Nová verze

Zeek (Wikipedie), původně Bro, byl vydán v nové major verzi 8.0.0. Jedná se o open source platformu pro analýzu síťového provozu. Vyzkoušet lze online.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (77%)

Panely (9%)

Záložky (5%)

Listy (2%)

Něco jiného (7%)

Nic (0%)

Celkem 43 hlasů

Komentářů: 6, poslední včera 13:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Štítky: Content Management System, databáze, popis, PostgreSQL, problém, wiki

Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Vývojáři PostgreSQL oznámili vydání verzí 10.3, 9.6.8, 9.5.12, 9.4.17 a 9.3.22. Řešen je především bezpečnostní problém CVE-2018-1058. Podrobný popis bezpečnostního problému na PostgreSQL wiki.

1.3.2018 15:33 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

1.3.2018 18:06 Lyco | skóre: 14 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Odpovědět | Sbalit | Link | Blokovat | Admin

Pozor, CVE-2018-1058 není v tomhle releasu řešeno patchem, ale jen dokumentací problému!

CVE-2018-1058 je v podstatě konfigurační chyba, ekvivalent shellového

# root:
mkdir /public
chmod 777 /public
export PATH=/public:...

# user:
echo "give_root_to_user" > /public/ls
chmod 555 /public/ls

# root:
ls ~ #PWNED!

Tedy, jedná se o konfigurační chybu, a DB funguje jak má. Problém je jen v tom, že ta první část (veřejné schéma které může překrýt systémové funkce) je default. Jen je to chování nečekané, takže je dokumentují.

Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.

2.3.2018 12:01 MP
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

A proc to rovnou nepatchli? Protoze pak je ten update k h... kdyz i pro nove instalace se to musi udelat rucne.

3.3.2018 06:58 okbob | skóre: 30 | blog: systemakuv_blog | Benešov
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Popisovaná chyba je aplikační - tudíž nemůže být fixnutá v Postgresu. Jediné, co vývojáři mohou udělat, je přidat popis a zdůraznit ji. Navíc se nejedná o nic nového. Doporučení nastavit explicitně search_path, případně dropnout public jsou známá více-méně od zavedení schématů.

2.3.2018 01:06 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Odpovědět | Sbalit | Link | Blokovat | Admin

Dodneška jsem nepochopil, k čemu je to schéma public vlastně dobré. Teda kromě toho, abych měl práci navíc, když po vytvoření databáze zapomenu vytvořit svoje schéma a public smazat.

Quando omni flunkus moritati

3.3.2018 07:11 okbob | skóre: 30 | blog: systemakuv_blog | Benešov
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

"public" schéma je jednak pomůcka pro vývojáře, kteří nepoužívali a nepoužívají schémata (a nemají žádné zkušenosti s konceptem schémat). Aby se mohli přihlásit a třeba vytvořit tabulku, aniž by si museli explicitně grantovat práva, atd. Berte to tak, že pro Postgres je konkurentem MySQL, MariaDB, kde schémata nejsou - a pro některé uživatele mysql byl přechod na PG komplikovaný, protože se nepřihlásili pod rootem, a být tam ještě komplikace se schématy, tak už by PG totálně zavrhli jako extrémně komplikovanou db. Druhak - public schéma posloužilo při migraci z verzí, kde PostgreSQL schémata ještě nepodporovalo. Public schéma umožňuje zamaskovat, že používáte schémata (tím se vyřešil problém, že každý objekt musí být ve schématu).

Pokud nechcete používat schéma "public", tak mu buďto seberte práva, čímž jej sanitizujete, případně můžete změnit defaultní search_path, nebo jej dropněte v template1.

5.3.2018 15:10 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní problém CVE-2018-1058 v PostgreSQL

Njn, jako člověk nepoznamenaný MySQL tuhle kompatibilitu, která mi přidělává práci, holt moc neocením...

Quando omni flunkus moritati

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje