ГлавнаяБаза уязвимостей БДУ → BDU:2024-01121
9высокая

BDU:2024-01121 (CVE-2024-0985)

Уязвимость функции REFRESH MATERIALIZED VIEW CONCURRENTLY системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-команды
Опубликовано: 2024-02-12
Описание

Уязвимость функции REFRESH MATERIALIZED VIEW CONCURRENTLY системы управления базами данных PostgreSQL связана с ошибками управления привилегиями при обработке и проверке параметров командной строки. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-команды

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА Кобальт (7.9)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10PostgreSQL (от 15 до 15.6)PostgreSQL (от 14 до 14.11)PostgreSQL (от 13 до 13.14)PostgreSQL (от 12 до 12.18)Postgres Pro Certified (до 14.11.2)Postgres Pro Certified (до 15.6.2)Postgres Pro Certified (до 16.2.2)ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- не выполнять от имени суперпользователя команду REFRESH MATERIALIZED VIEW CONCURRENTLY на объектах материализованное представление (MATERIALIZED VIEW), созданных недоверенными пользователями. Выполнять обновление материализованного представления без опции CONCURRENTLY можно;
- исключить возможность недоверенных пользователей создавать объекты в БД;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя:
https://www.postgresql.org/support/security/CVE-2024-0985/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
https://postgrespro.ru/docs/postgrespro/16/release-pro-16-2-2
https://postgrespro.ru/docs/postgrespro/15/release-pro-15-6-2
https://postgrespro.ru/docs/postgrespro/14/release-pro-14-11-2

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.21-astra.se13+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет postgresql-11 до 1:11.21-astra.se13+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2625

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.postgresql.org/support/security/CVE-2024-0985/https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://postgrespro.ru/products/postgrespro/certifiedhttps://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена