7.5критическая
BDU:2019-01225 (CVE-2018-16850)
Уязвимость утилит pg_upgrade и pg_dump системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольные SQL-команды
Опубликовано: 2019-03-29
Описание
Уязвимость утилит pg_upgrade и pg_dump системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-команды
Затрагиваемое ПО и версии
PostgreSQL (от 9.3.0 до 9.3.25)PostgreSQL (от 9.4.0 до 9.4.20)PostgreSQL (от 9.5.0 до 9.5.15)PostgreSQL (от 9.6.0 до 9.6.11)PostgreSQL (от 10.0 до 10.6)PostgreSQL (от 11.0 до 11.1)Postgres Pro Certified (до 11.11.1)
Способ устранения
Использование рекомендаций:
https://www.postgresql.org/about/news/1905/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Оценка CVSS
| Балл | 7.5 — критическая опасность |
Источники и патчи