ГлавнаяБаза уязвимостей БДУ → BDU:2024-09682
2.6средняя

BDU:2024-09682 (CVE-2024-10977)

Уязвимость компонента libpq системы управления базами данных PostgreSQL, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку типа «человек посередине»
Опубликовано: 2024-11-15
Описание

Уязвимость компонента libpq системы управления базами данных PostgreSQL связана с использованием ненадежного источника данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и выполнить атаку типа «человек посередине»

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПРОСА Кобальт (7.9)АЛЬТ СП 10Astra Linux Special Edition (1.8)PostgreSQL (до 17.1)PostgreSQL (до 16.5)PostgreSQL (до 15.9)PostgreSQL (до 14.14)PostgreSQL (до 13.17)PostgreSQL (до 12.21)Postgres Pro Certified (до 17.1)Postgres Pro Certified (до 16.5)Postgres Pro Certified (до 15.9)Postgres Pro Certified (до 14.14)Postgres Pro Certified (до 13.17)СУБД «Tantor» (15)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10977/

Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства


Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для ОС РОСА "КОБАЛЬТ":
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://postgrespro.ru/products/postgrespro/certifiedhttps://www.postgresql.org/support/security/CVE-2024-10977/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-postgresql-cve-2024-10976-cve-2024-10977-cve-2024-10978-cve-2024-10979201714135318636/?sphrase_id=602245https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/x/ziLoDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
Проверьте безопасность своего сайта и почты → Полная проверка домена