ГлавнаяБаза уязвимостей БДУ → BDU:2023-00613
7.1высокая

BDU:2023-00613 (CVE-2020-14349)

Уязвимость системы управления базами данных PostgreSQL, связанная с неконтролируемым элементом пути поиска, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды
Опубликовано: 2023-02-08
Описание

Уязвимость системы управления базами данных PostgreSQL связана с неконтролируемым элементом пути поиска при обработке параметра search_path. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольные команды

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Red Hat Virtualization (4)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Red Hat Software CollectionsRed Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Enterprise Linux (8.2 Extended Update Support)PostgreSQL (от 10.0 до 10.14)PostgreSQL (от 11.0 до 11.9)PostgreSQL (от 12.0 до 12.4)Альт 8 СПОСОН ОСнова Оnyx (до 2.3)Postgres Pro Certified (до 11.11.1)
Способ устранения

Использование рекомендаций:
Для PostgreSQL:
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=cec57b1a0fbcd3833086ba686897c5883e0a2afc
https://www.postgresql.org/support/security/CVE-2020-14349/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4472-1

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/RVKTSYB6VOWNCXMN2C6CHUQBVHCRICIH/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/KCFAAI7HQKWBFPQVB7SCZVKD3NQX2N52/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/25COAMDPKIB3AWDKP6IEG35QG2IFIZ7W/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/JBQ6CL4MQALOVA7GHHQK6R3AD3MXSR5R/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/6NJOWPOFFUYUXLYYWXZGSLK4YBDYXAES/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-14349https://ubuntu.com/security/notices/USN-4472-1https://security.gentoo.org/glsa/202008-13https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/RVKTSYB6VOWNCXMN2C6CHUQBVHCRICIH/https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/KCFAAI7HQKWBFPQVB7SCZVKD3NQX2N52/https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/25COAMDPKIB3AWDKP6IEG35QG2IFIZ7W/https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/JBQ6CL4MQALOVA7GHHQK6R3AD3MXSR5R/https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/6NJOWPOFFUYUXLYYWXZGSLK4YBDYXAES/
Проверьте безопасность своего сайта и почты → Полная проверка домена