ГлавнаяБаза уязвимостей БДУ → BDU:2024-09681
3.6средняя

BDU:2024-09681 (CVE-2024-10978)

Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL, позволяющая нарушителю повысить свои привилегии и получить доступ к защищаемой информации
Опубликовано: 2024-11-15
Описание

Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПРОСА Кобальт (7.9)АЛЬТ СП 10Astra Linux Special Edition (1.8)PostgreSQL (до 17.1)PostgreSQL (до 16.5)PostgreSQL (до 15.9)PostgreSQL (до 14.14)PostgreSQL (до 13.17)PostgreSQL (до 12.21)Postgres Pro Certified (до 17.1)Postgres Pro Certified (до 16.5)Postgres Pro Certified (до 15.9)Postgres Pro Certified (до 14.14)Postgres Pro Certified (до 13.17)СУБД «Tantor» (15)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10978/

Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства


Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827


Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2787
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Оценка CVSS
Балл3.6 — средняя опасность
Источники и патчи
https://postgrespro.ru/products/postgrespro/certifiedhttps://www.postgresql.org/support/security/CVE-2024-10978/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-postgresql-cve-2024-10976-cve-2024-10977-cve-2024-10978-cve-2024-10979201714135318636/?sphrase_id=602245https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/x/ziLoDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
Проверьте безопасность своего сайта и почты → Полная проверка домена