ГлавнаяБаза уязвимостей БДУ → BDU:2022-02928
9высокая

BDU:2022-02928 (CVE-2022-1552)

Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-функции под учетной записью суперпользователя
Опубликовано: 2022-05-17
Описание

Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL связана с ошибками при обслуживании одним пользователем объектов другого. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-функции под учетной записью суперпользователя

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsDebian GNU/Linux (11)РЕД ОС (7.3)ОС ТД АИС ФССП России (ИК6)Альт 8 СПPostgreSQL (до 14.3)PostgreSQL (до 13.7)PostgreSQL (до 12.11)PostgreSQL (до 11.16)PostgreSQL (до 10.21)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5.1)ROSA Virtualization (2.1)Postgres Pro Certified (до 11.16.2)Postgres Pro Certified (до 14.4.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функции Avtovacuum;
- ограничение круга лиц, имеющих административные права в базе данных;
- ужесточение контроля доступа к административным функциям управления БД.

Информация от производителя:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2022-1552/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1552

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1552

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.16+repack1-1.pgdg100+1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет postgresql-9.6 до 9.6.24-astra.se13+ci10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.postgresql.org/support/security/CVE-2022-1552/https://access.redhat.com/security/cve/cve-2022-1552https://security-tracker.debian.org/tracker/CVE-2022-1552https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=677a494789062ca88e0142a17bedd5415f6ab0aahttps://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=ab49ce7c3414ac19e4afb386d7843ce2d2fb8bdahttps://www.postgresql.org/about/news/postgresql-143-137-1211-1116-and-1021-released-2449/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://goslinux.fssp.gov.ru/2726972/
Проверьте безопасность своего сайта и почты → Полная проверка домена