ГлавнаяБаза уязвимостей БДУ → BDU:2022-04971
9высокая

BDU:2022-04971

Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками при использовании команд OR расширениями, позволяющая нарушителю повысить свои привилегии и заменить произвольные объекты в базе данных
Опубликовано: 2022-08-15
Описание

Уязвимость системы управления базами данных PostgreSQL связана с ошибками при использовании команд OR расширениями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и заменить произвольные объекты в базе данных

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.7)Альт 8 СПPostgreSQL (до 14.5)PostgreSQL (до 13.8)PostgreSQL (до 12.12)PostgreSQL (до 11.17)PostgreSQL (до 10.22)PostgreSQL (до 15 Beta 3)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)Postgres Pro Certified (до 11.17.1)Postgres Pro Certified (до 14.5.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- проверка расширений на возможность создания объектов в базе данных (убедитесь, что ни один из этих объектов не существует в вашей системе);
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование входных данных только из доверенных источников.

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.17+repack1-1.pgdg100+1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для ОС Astra Linux Special Edition 1.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена