Уязвимость программного обеспечения для пула соединения в PostgreSQL PgBouncer связана с ненадежным путем поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Компенсирующие меры:
1. В настройках следующих параметров конфигурации необходимо:
• в параметре track_extra_parameters не должно быть указано значение search_path (не является настройкой по умолчанию);
• в параметре auth_user не должно быть указано имя привилегированного пользователя, от имени которого может быть выполнен произвольный код (не является настройкой по умолчанию);
• в параметре auth_query должны быть указаны полные имена объектов.;
2. Перед использованием любых внешних данных (переменных, параметров) для построения пути их необходимо очищать и проверять;
3. Использовать мониторинг журналов аудита на предмет подозрительной активности;
4. используйте межсетевые экраны для ограничения доступа к портам pgbouncer (обычно 6432) и PostgreSQL (обычно 5432). Доступ должен быть разрешен только с доверенных IP-адресов (например, с серверов приложений);
5. При наличии IDS/IPS решения в инфраструктуре, обеспечить мониторинг сетевого трафика, идущего к pgbouncer и от него, на предмет аномалий и потенциальных атак (например, попыток SQL-инъекций или перебора паролей).
Для pgbouncer:
https://www.pgbouncer.org/changelog.html#pgbouncer-125x
Для ОС Astra Linux:
обновить пакет pgbouncer до 1.18.0-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgbouncer-cve-2025-12819-7.3/?sphrase_id=1455094
| Балл | 7.1 — высокая опасность |