ГлавнаяБаза уязвимостей БДУ → BDU:2025-05675
8.3критическая

BDU:2025-05675

Уязвимость программных средств балансировки и управления соединениями Pgpool-II и HAProxy для СУБД PostgreSQL, связанная с небезопасной инициализацией ресурса, позволяющая нарушителю получить несанкционированный доступ к базе данных
Опубликовано: 2025-05-19
Описание

Уязвимость программных средств балансировки и управления соединениями Pgpool-II и HAProxy для СУБД PostgreSQL связана с небезопасной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к базе данных с правами пользователя repgmr внутри кластера контейнеров

Затрагиваемое ПО и версии
Pgpool-II (до 4.6.0-1)PostgreSQL HA (до 16.0.0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к базе данных;
- ограничить доступ к базе данных, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания действий пользователя repgmr;
- отключение/удаление учётной записи repgmr .
- ограничение доступа к программному обеспечению из внешних сетей (Интернет).

Использование рекомендаций:
Обновление Pgpool-II до версии 4.6.0-1 и выше
Обновление PostgreSQL HA до версии 16.0.0 и выше

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://github.com/bitnami/charts/security/advisories/GHSA-mx38-x658-5fwj
Проверьте безопасность своего сайта и почты → Полная проверка домена