Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL связана с ошибками в настройках системы или конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём изменения переменных среды (например, PATH)
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10979/
Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1
Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для операционной системы
РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2910
https://abf.rosa.ru/advisories/ROSA-SA-2025-3011
https://abf.rosa.ru/advisories/ROSA-SA-2025-3010
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2787
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037
| Балл | 9 — высокая опасность |