ГлавнаяБаза уязвимостей БДУ → BDU:2023-04767
7.1высокая

BDU:2023-04767 (CVE-2023-39417)

Уязвимость системы управления базами данных PostgreSQL, связанная с возможностью SQL-инъекций в расширениях, позволяющая нарушителю выполнять произвольный SQL-запрос к базе данных
Опубликовано: 2023-08-21
Описание

Уязвимость системы управления базами данных PostgreSQL связана возможностью SQL-инъекций в расширениях, которые используют конструкции цитирования (@extowner@, @extschema@ или @extschema:...@) внутри скобок (dollar quoting, '', или ""). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольный SQL-запрос к базе данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Software CollectionsРЕД ОС (7.3)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)PostgreSQL (до 15.4)PostgreSQL (до 14.9)PostgreSQL (до 13.12)PostgreSQL (до 12.16)PostgreSQL (до 11.21)PostgreSQL (до 16 Beta 3)Postgres Pro Certified (15.4)Postgres Pro Certified (14.9)Postgres Pro Certified (13.12)Postgres Pro Certified (12.16)Postgres Pro Certified (11.21)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)Jatoba (4.9)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2023-39417

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-39417

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Защищенная система управления базами данных «Jatoba»:
Обновление программного средства до актуальной версии

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.21+repack1-0+deb10u2.osnova0

Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2359

Для Astra Linux Special Edition 4.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2023-39417https://bugzilla.redhat.com/show_bug.cgi?id=2228111https://www.postgresql.org/support/security/CVE-2023-39417http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2359
Проверьте безопасность своего сайта и почты → Полная проверка домена