ГлавнаяБаза уязвимостей БДУ → BDU:2024-06153
9высокая

BDU:2024-06153 (CVE-2024-7348)

Уязвимость утилиты pg_dump системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольный SQL-код
Опубликовано: 2024-08-12
Описание

Уязвимость утилиты pg_dump системы управления базами данных PostgreSQL связана с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-код от имени пользователя, запускающего pg_dump и при условии сохранения нарушителем открытой транзакции

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПРОСА Кобальт (7.9)ROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10PostgreSQL (от 16 до 16.4)PostgreSQL (от 15 до 15.8)PostgreSQL (от 14 до 14.13)PostgreSQL (от 13 до 13.16)PostgreSQL (от 12 до 12.20)Postgres Pro Certified (до 16.4)Postgres Pro Certified (до 15.8)Postgres Pro Certified (до 14.13)Postgres Pro Certified (до 13.16)Postgres Pro Certified (до 12.20)Astra Linux Special Edition (1.8)Platform V Pangolin SE (до 6.2.1)СУБД «Tantor» (15)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://postgrespro.ru/products/postgrespro/certified
https://www.postgresql.org/support/security/CVE-2024-7348/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для АО «Сбербанк-Технологии»:
Обновление Platform V Pangolin SE до версии 6.2.1 и выше

Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2589

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2742

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47


Для ОС РОСА "КОБАЛЬТ":
https://abf.rosa.ru/advisories/ROSA-SA-2025-2788
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://postgrespro.ru/products/postgrespro/certifiedhttps://www.postgresql.org/support/security/CVE-2024-7348/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/x/ziLoDhttps://abf.rosa.ru/advisories/ROSA-SA-2024-2501
Проверьте безопасность своего сайта и почты → Полная проверка домена