ГлавнаяБаза уязвимостей БДУ → BDU:2025-01601
10критическая

BDU:2025-01601 (CVE-2025-1094)

Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-02-17
Описание

Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)Astra Linux Special Edition (1.8)PostgreSQL (до 17.3)PostgreSQL (до 16.7)PostgreSQL (до 15.11)PostgreSQL (до 14.16)PostgreSQL (до 13.19)libpqROSA Virtualization 3.0 (3.0)СУБД «Tantor» (до 15.10.3)Platform V Pangolin SE (до 6.4.2 включительно)ОСОН ОСнова Оnyx (до 2.14)Postgres Pro Certified (до 14.17.1)Postgres Pro Certified (до 15.12.1)Postgres Pro Certified (до 16.8.1)Postgres Pro Certified (до 17.4.1)МСВСфера (9.5)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
https://www.postgresql.org/support/security/CVE-2025-1094/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-postgresql16-cve-2025-109450548492/?sphrase_id=806649

Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10.3, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Для СУБД «Platform V Pangolin DB»: обновление программного обеспечения до версии 6.4.2_cve0 или выше



Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.12-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827


Для ОС РОСА "КОБАЛЬТ":
https://abf.rosa.ru/advisories/ROSA-SA-2025-2787


https://abf.rosa.ru/advisories/ROSA-SA-2025-3037
https://abf.rosa.ru/advisories/ROSA-SA-2025-3036

Обновление программного обеспечения postgresql-15 до версии 15.14+repack1-1osnova1

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:1738?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.postgresql.org/support/security/CVE-2025-1094/https://attackerkb.com/topics/G5s8ZWAbYH/cve-2024-12356/rapid7-analysishttps://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-postgresql16-cve-2025-109450548492/?sphrase_id=806649https://lk-new.astralinux.ru/https://wiki.astralinux.ru/x/ziLoDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена