ГлавнаяБаза уязвимостей БДУ → BDU:2020-05465
10критическая

BDU:2020-05465 (CVE-2020-25695)

Уязвимость компонента core server системы управления базами данных PostgreSQL, позволяющая нарушителю оказать влияние на целостность, доступность и конфиденциальность данных
Опубликовано: 2020-12-01
Описание

Уязвимость компонента core server системы управления базами данных PostgreSQL связана с недостаточной защитой структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на целостность, доступность и конфиденциальность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)РЕД ОС (7.2 Муром)Red Hat Software CollectionsPostgreSQL (до 9.5.24)PostgreSQL (от 9.6.0 до 9.6.20)PostgreSQL (от 10.0 до 10.15)PostgreSQL (от 11.0 до 11.10)PostgreSQL (от 12.0 до 12.5)PostgreSQL (от 13.0 до 13.1)ОС ОН «Стрелец» (1.0)Альт 8 СПIBM Security Access Manager (до 9.0.7.2-ISS-ISAM-IF0003)ОСОН ОСнова Оnyx (до 2.3)Postgres Pro Certified (до 11.11.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-25695

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6502211

Для Astra Linux:
Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии

При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-25695https://lists.debian.org/debian-lts-announce/2020/12/msg00005.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovleniehttps://www.postgresql.org/support/security/https://www.ibm.com/support/pages/node/6502211https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/https://postgrespro.ru/products/postgrespro/certifiedhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена