ГлавнаяБаза уязвимостей БДУ → BDU:2020-05467
9.3критическая

BDU:2020-05467 (CVE-2020-25694)

Уязвимость компонента client системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-12-01
Описание

Уязвимость компонента client системы управления базами данных PostgreSQL связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)РЕД ОС (7.2 Муром)Red Hat Software CollectionsPostgreSQL (до 9.5.24)PostgreSQL (от 9.6.0 до 9.6.20)PostgreSQL (от 10.0 до 10.15)PostgreSQL (от 11.0 до 11.10)PostgreSQL (от 12.0 до 12.5)PostgreSQL (от 13.0 до 13.1)ОС ОН «Стрелец» (1.0)Альт 8 СПIBM Security Access Manager (до 9.0.7.2-ISS-ISAM-IF0003)ОСОН ОСнова Оnyx (до 2.3)Postgres Pro Certified (до 11.11.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-25694

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Astra Linux:
Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6502211

При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9.3 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-25694https://lists.debian.org/debian-lts-announce/2020/12/msg00005.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovleniehttps://www.postgresql.org/support/security/https://www.ibm.com/support/pages/node/6502211https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/https://postgrespro.ru/products/postgrespro/certifiedhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена