Уязвимость BDU:2019-03694

Идентификатор: BDU:2019-03694.

Наименование уязвимости: Уязвимость систем управления базами данных «Ред База Данных» и Firebird, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость систем управления базами данных «Ред База Данных» и Firebird связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, выполнив неверно сформированный оператор SQL
Уязвимое ПО: СУБД Firebird Foundation Inc. Firebird 2.5.7 | СУБД Firebird Foundation Inc. Firebird 3.0.2 | СУБД ООО «Ред Софт» Ред База Данных до 2.6.0.12037 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: ОС ОН «Стрелец» до 16012023 |
Дата выявления: 09.07.2019.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Обновление версии СУБД

Компенсирующие меры:
Отключение загрузки внешних библиотек UDF. Для этого необходимо отредактировать конфигурацию по умолчанию UdfAccess = None. Это предотвратит загрузку модуля fbudf

Для ОС ОН «Стрелец»:
Обновление программного обеспечения firebird3.0 до версии 3.0.5.33100.ds4-2.strelets1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-11509.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cvedetails.com/cve/CVE-2017-11509/
https://www.tenable.com/security/research/tra-2017-36
https://reddatabase.ru/secupdate/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023