ГлавнаяБаза уязвимостей БДУ → BDU:2020-01320
7.2высокая

BDU:2020-01320 (CVE-2019-3466)

Уязвимость сценария pg_ctlcluster пакета postgresql-common, связанная с небезопасным управлением привилегиями, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-06
Описание

Уязвимость сценария pg_ctlcluster пакета postgresql-common связана с ошибкой сбрасывания прав доступа при создании временных каталогов для сокетов/статистики. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (19.04)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)postgresql-common (до 210)ОС ОН «Стрелец» (1.0)ОС ОН «Стрелец» (до 16.01.2023)ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Использование рекомендаций:
Для postgresql-common:
https://blog.mirch.io/2019/11/15/cve-2019-3466-debian-ubuntu-pg_ctlcluster-privilege-escalation/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-3466
https://security-tracker.debian.org/tracker/CVE-2019-3466

Для Ubuntu:
https://usn.ubuntu.com/4194-2/
https://usn.ubuntu.com/4194-1/

Для Astra Linux:
Обновление программного обеспечения (пакета postgresql-common) до 181+deb9u3 или более поздней версии

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-common до версии 181+deb9u3.osnova0

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения postgresql-common до версии 246-1osnova1

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://blog.mirch.io/2019/11/15/cve-2019-3466-debian-ubuntu-pg_ctlcluster-privilege-escalation/https://nvd.nist.gov/vuln/detail/CVE-2019-3466https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3466.html?_ga=2.254134088.1786390430.1573540740-1618695258.1547637860https://security-tracker.debian.org/tracker/CVE-2019-3466https://usn.ubuntu.com/4194-1/https://usn.ubuntu.com/4194-2/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MDhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена