ГлавнаяБаза уязвимостей БДУ → BDU:2024-09679
9высокая

BDU:2024-09679 (CVE-2024-10979)

Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-11-15
Описание

Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL связана с ошибками в настройках системы или конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём изменения переменных среды (например, PATH)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПРОСА Кобальт (7.9)РОСА ХРОМ (12.4)АЛЬТ СП 10Astra Linux Special Edition (1.8)PostgreSQL (до 17.1)PostgreSQL (до 16.5)PostgreSQL (до 15.9)PostgreSQL (до 14.14)PostgreSQL (до 13.17)PostgreSQL (до 12.21)Postgres Pro Certified (до 17.1)Postgres Pro Certified (до 16.5)Postgres Pro Certified (до 15.9)Postgres Pro Certified (до 14.14)Postgres Pro Certified (до 13.17)СУБД «Tantor» (15)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10979/

Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства


Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для операционной системы
РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2910


https://abf.rosa.ru/advisories/ROSA-SA-2025-3011
https://abf.rosa.ru/advisories/ROSA-SA-2025-3010

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788


Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2787
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://postgrespro.ru/products/postgrespro/certifiedhttps://www.postgresql.org/support/security/CVE-2024-10979/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-postgresql-cve-2024-10976-cve-2024-10977-cve-2024-10978-cve-2024-10979201714135318636/?sphrase_id=602245https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/x/ziLoDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
Проверьте безопасность своего сайта и почты → Полная проверка домена