Как стать postgres в чужом облаке: краш-тест безопасности управляемых БД

Меня зовут Евгений Ефимкин, я руковожу группой Platform Reliability в Yandex Cloud. В числе прочего мы занимаемся безопасностью наших managed‑сервисов. В managed PostgreSQL мы не выдаём клиенту привилегии superuser — иначе он сможет выйти за пределы своей базы прямо в операционную систему. Чтобы клиент при этом мог выполнять привилегированные операции: создавать базы, заводить роли, менять настройки кластера, — мы пишем сервисы Control Plane и выдаём специальные ограниченные роли (без выхода в ОС и без обхода проверок прав). Несколько лет назад, занимаясь поддержкой логической репликации, я понял, что и этого мало: у PostgreSQL остаются места, где он сам, изнутри, выполняет код от superuser в обход всей конструкции. Дальше — два случая повышения привилегий у двух разных публичных облачных провайдеров. Оба вектора к моменту публикации закрыты — и в апстриме PostgreSQL, и у самих сервисов; оба провайдера своевременно проинформированы.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/1040504/

#postgresql #superuser #logical_replication #search_path #pg_hint_plan #operator_injection

I'm preferring my new way to degoogle. Instead of manually doing it like I have done in the past, I am now installing Shizuku and using shizuku privileges to precipitate the process. - De-google my life! ⚡

I am old-tech USB ADB and SU Root guy that's learning new tricks of the trade. Rooting is not really needed like it used to be way back in the day. Having an MS Windows OS available 247 is also something in the past.

#SuperUser #NoRoot #Shizuku #DeGoogle #DeveloperTools

Copy fail : depuis 2017, une faille dans le noyau Linux permettait à un utilisateur de passer root.

30 avril 2026 - Martin Clavey

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

1/

https://next.ink/236230/copy-fail-depuis-2017-une-faille-dans-le-noyau-linux-permettait-a-un-utilisateur-de-passer-root/

#Linux #CopyFail #Xint #Root #authencesn #SuperUser #Docker #Kubernetes #Vulnerability #Debian #Python #Patch #Cybersecurity #InfoSec #Data_Breach #PrivilegeEscalation #Privilege #Kernel #AEAD #AuthenticatedEncryption

Yup!

#Sudo #SuperUser #PrettyPlease

#Linux users seem to love their #terminal. Yesterday I installed #ubuntu on an old Mac mini. Problem, as usual: #Drivers. So I searched the web. #askubuntu, #superuser, … all the typical places. Lengthy articles, all starting with: sudo apt update, sudo apt upgrade.
Sometimes I believe, when you ask a Linux specialists where to get a coffe you will get this answer too…. :-) SCNR
After some more digging and getting to used to the tools, I opened the update tool, additional drivers, found the missing #Broadcom, clicked, waited. Done. No reboot. No Terminal.

Additionally: Yesterday I went to an #Apple #Store with a mac issue (old MBP Intel). Went there, 30 min later fixed at no cost.
Where would I bring my Linux computer? Need the internet. There: sudo apt update, sudo apt upgrade …

I got an email from "[email protected]" about a Stack Overflow survey. Most of my participation on the Stack Exchange network is actually on SuperUser, but I figured my contributions might still be useful/relevant. I imagine the populations between the two are pretty similar. They were looking for users from the United States.

Info Sheet: http://tiny.cc/Sheet1233

The Actual Survey: http://tiny.cc/Survey1233

I got nerd-sniped hard by what I considered to be (mostly) excellent questions surrounding DEI-type concerns. I ended up spending way longer than 15-30 minutes on them anyway. So... I'm dumping my responses here in a thread before going to bed for the night.

#StackExchange #StackOverflow #SuperUser #DEI