Уязвимость BDU:2025-00063

Идентификатор: BDU:2025-00063.

Наименование уязвимости: Уязвимость функций SQLTables() и SQLColumns() программного интерфейса средства интеграции данных Amazon Redshift ODBC облачной СУБД Amazon Redshift, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость функций SQLTables() и SQLColumns() программного интерфейса средства интеграции данных Amazon Redshift ODBC облачной СУБД Amazon Redshift связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Уязвимое ПО: Прикладное ПО информационных систем Amazon Web Services, Inc. Amazon Redshift ODBC 2.1.5.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.12.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 8,6)

Возможные меры по устранению:
Использование рекомендаций:
Рекомендуется обновить программное обеспечение до версии 2.1.6.0 или сделать откат до версии 2.1.4.0:
https://aws.amazon.com/security/security-bulletins/AWS-2024-015/
https://github.com/aws/amazon-redshift-odbc-driver/releases
https://s3.amazonaws.com/redshift-downloads/drivers/odbc/2.1.6.0/AmazonRedshiftODBC64-2.1.6.0.msi
https://s3.amazonaws.com/redshift-downloads/drivers/odbc/2.1.6.0/AmazonRedshiftODBC-64-bit-2.1.6.0.x86_64.rpm.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-12746.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://aws.amazon.com/security/security-bulletins/AWS-2024-015/
https://github.com/aws/amazon-redshift-odbc-driver/security/advisories/GHSA-g63m-5vjv-wr3v
https://github.com/aws/amazon-redshift-odbc-driver