ГлавнаяБаза уязвимостей БДУ → BDU:2022-03872
9высокая

BDU:2022-03872 (CVE-2020-13692)

Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2022-06-29
Описание

Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Jboss Fuse (7)OpenShift Application Runtimes (1.0)Red Hat Descision Manager (7)Fedora (32)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Process Automation (7)Red Hat Integration Camel Kpgjdbc (до 42.2.13)Red Hat IntegrationRed Hat AMQ OnlineQuarkus (до 1.5.2 включительно)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Использование рекомендаций:
Для PgJDBC:
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.13

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DCCAPM6FSNOC272DLSNQ6YHXS3OMHGJC/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13692

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u2

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/cve-2020-13692https://github.com/pgjdbc/pgjdbc/commit/14b62aca4764d496813f55a43d050b017e01eb65https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.13https://lists.apache.org/thread.html/r00bcc6b2da972e0d6332a4ebc7807e17305d8b8e7fb2ae63d2a3cbfb@%3Ccommits.camel.apache.org%3Ehttps://lists.apache.org/thread.html/r01ae1b3d981cf2e563e9b5b0a6ea54fb3cac8e9a0512ee5269e3420e@%3Ccommits.camel.apache.org%3Ehttps://lists.apache.org/thread.html/r0478a1aa9ae0dbd79d8f7b38d0d93fa933ac232e2b430b6f31a103c0@%3Ccommits.camel.apache.org%3Ehttps://lists.apache.org/thread.html/r1aae77706aab7d89b4fe19be468fc3c73e9cc84ff79cc2c3bd07c05a@%3Ccommits.camel.apache.org%3Ehttps://lists.apache.org/thread.html/r4bdea189c9991aae7a929d28f575ec46e49ed3d68fa5235825f38a4f@%3Cnotifications.netbeans.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена