Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SQL-запроса
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование режима запроса по умолчанию;
- при настройке свойств соединения не использовать значение параметра preferQueryMode=simple;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
Использование рекомендаций производителя:
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u4
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2829
Для «GitFlic» Self-hosted:
Обновление программного обеспечения, применение обновления «GitFlic» 4.8.3, предоставляемого в личном кабинете пользователя https://lk.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD), а также на официальном сайте GitFlic https://gitflic.ru/project/gitflic/gitflic/release
| Балл | 10 — критическая опасность |