ГлавнаяБаза уязвимостей БДУ → BDU:2019-04099
6.8средняя

BDU:2019-04099 (CVE-2017-15099)

Уязвимость реализации команды «INSERT ... ON CONFLICT DO UPDATE» системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-19
Описание

Уязвимость реализации команды «INSERT ... ON CONFLICT DO UPDATE» системы управления базами данных PostgreSQL связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)PostgreSQL (от 10.0 до 10.1)PostgreSQL (от 9.6.0 до 9.6.6)PostgreSQL (от 9.5.0 до 9.5.10)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для PostgreSQL:
https://www.postgresql.org/about/news/1801/
https://www.postgresql.org/support/security/

Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-4028

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://www.postgresql.org/about/news/1801/https://www.postgresql.org/support/security/https://www.debian.org/security/2017/dsa-4028https://nvd.nist.gov/vuln/detail/CVE-2017-15099https://threats.kaspersky.com/ru/vulnerability/KLA11147/https://postgrespro.ru/docs/postgrespro/10/release-10-1.htmlhttps://www.cvedetails.com/cve/CVE-2017-15099/?q=CVE-2017-15099
Проверьте безопасность своего сайта и почты → Полная проверка домена