ГлавнаяБаза уязвимостей БДУ → BDU:2024-09684
3.6средняя

BDU:2024-09684 (CVE-2024-10976)

Уязвимость политики безопасности таблиц с защитой строк CREATE POLICY системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-11-15
Описание

Уязвимость политики безопасности таблиц с защитой строк CREATE POLICY системы управления базами данных PostgreSQL связана с отсутствием согласованности между независимыми представлениями общего состояния. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем повторного использования запроса в нескольких SET ROLE

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПРОСА Кобальт (7.9)РОСА ХРОМ (12.4)АЛЬТ СП 10Astra Linux Special Edition (1.8)PostgreSQL (до 17.1)PostgreSQL (до 16.5)PostgreSQL (до 15.9)PostgreSQL (до 14.14)PostgreSQL (до 13.17)PostgreSQL (до 12.21)Postgres Pro Certified (до 17.1)Postgres Pro Certified (до 16.5)Postgres Pro Certified (до 15.9)Postgres Pro Certified (до 14.14)Postgres Pro Certified (до 13.17)СУБД «Tantor» (15)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10976/

Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified



Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства


Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2910

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827


Для ОС РОСА "КОБАЛЬТ":
https://abf.rosa.ru/advisories/ROSA-SA-2025-2787
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Оценка CVSS
Балл3.6 — средняя опасность
Источники и патчи
https://postgrespro.ru/products/postgrespro/certifiedhttps://www.postgresql.org/support/security/CVE-2024-10976/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-postgresql-cve-2024-10976-cve-2024-10977-cve-2024-10978-cve-2024-10979201714135318636/?sphrase_id=602245https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/x/ziLoDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
Проверьте безопасность своего сайта и почты → Полная проверка домена