ГлавнаяБаза уязвимостей БДУ → BDU:2024-01541
10критическая

BDU:2024-01541

Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-02-25
Описание

Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SQL-запроса

Затрагиваемое ПО и версии
РЕД ОС (7.3)pgjdbc (от 42.2.0 до 42.2.28)pgjdbc (от 42.3.0 до 42.3.9)pgjdbc (от 42.4.0 до 42.4.4)pgjdbc (от 42.5.0 до 42.5.5)pgjdbc (от 42.6.0 до 42.6.1)pgjdbc (от 42.7.0 до 42.7.2)ОСОН ОСнова Оnyx (до 2.11)Программный комплекс информационной системы «Формирование ПД» (до RU.53305691.00007-03)ROSA Virtualization 3.0 (3.0)GitFlic (до 4.8.2 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование режима запроса по умолчанию;
- при настройке свойств соединения не использовать значение параметра preferQueryMode=simple;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u4

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2829

Для «GitFlic» Self-hosted:
Обновление программного обеспечения, применение обновления «GitFlic» 4.8.3, предоставляемого в личном кабинете пользователя https://lk.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD), а также на официальном сайте GitFlic https://gitflic.ru/project/gitflic/gitflic/release

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/https://abf.rosa.ru/advisories/ROSA-SA-2025-2829https://gitflic.ru/project/gitflic/gitflic/releasehttps://lk.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Проверьте безопасность своего сайта и почты → Полная проверка домена