ГлавнаяБаза уязвимостей БДУ → BDU:2019-01225
7.5критическая

BDU:2019-01225 (CVE-2018-16850)

Уязвимость утилит pg_upgrade и pg_dump системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольные SQL-команды
Опубликовано: 2019-03-29
Описание

Уязвимость утилит pg_upgrade и pg_dump системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-команды

Затрагиваемое ПО и версии
PostgreSQL (от 9.3.0 до 9.3.25)PostgreSQL (от 9.4.0 до 9.4.20)PostgreSQL (от 9.5.0 до 9.5.15)PostgreSQL (от 9.6.0 до 9.6.11)PostgreSQL (от 10.0 до 10.6)PostgreSQL (от 11.0 до 11.1)Postgres Pro Certified (до 11.11.1)
Способ устранения

Использование рекомендаций:
https://www.postgresql.org/about/news/1905/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://www.securityfocus.com/bid/105923http://www.securitytracker.com/id/1042144https://access.redhat.com/errata/RHSA-2018:3757https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16850https://security.gentoo.org/glsa/201811-24https://usn.ubuntu.com/3818-1/https://www.postgresql.org/about/news/1905/https://postgrespro.ru/products/postgrespro/certified
Проверьте безопасность своего сайта и почты → Полная проверка домена