Уязвимость системных представлений pg_stats_ext, pg_stats_ext_exprs СУБД PostgreSQL связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
1. Ограничение данных в представлениях pg_stats_ext, pg_stats_ext_exprs владельцами таблиц или ролями, которые наследуют привилегии владельца таблицы.
2. Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к СУБД.
3. Использование виртуальных частных сетей для организации удаленного доступа (VPN).
4. Скачать SQL-скрипт, соответствующий вашей версии PostgreSQL:
PostgreSQL 16: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_16_STABLE
PostgreSQL 15: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_15_STABLE
PostgreSQL 14: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_14_STABLE
Запустить скрипт в каждой базе данных кластера PostgreSQL от имени суперпользователя:
\i /usr/share/postgresql/fix-CVE-2024-4317.sql
Временно разрешить подключения к базам template0 и template1 командой:
ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true;
ALTER DATABASE template1 WITH ALLOW_CONNECTIONS true;
После запуска скрипта в template0 и template1, отозвать разрешение на подключения командой:
ALTER DATABASE template0 WITH ALLOW_CONNECTIONS false;
ALTER DATABASE template1 WITH ALLOW_CONNECTIONS false;
Убедитесь, что скрипт был запущен в базах template0 и template1.
Использование рекомендаций производителя:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-4317/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для АО «Сбербанк-Технологии»:
Обновление Platform V Pangolin SE до версии 6.2.1 и выше
Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1
| Балл | 2.1 — средняя опасность |