СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
12.11.2020
#Dev#ИБ

Уязвимость BDU:2020-05467

Уязвимость BDU:2020-05467

Идентификатор: BDU:2020-05467.

Наименование уязвимости: Уязвимость компонента client системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа «человек посередине».

Описание уязвимости: Уязвимость компонента client системы управления базами данных PostgreSQL связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система ООО «Ред Софт» РЕД ОС 7.2 Муром | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | СУБД PostgreSQL Global Development Group PostgreSQL до 9.5.24 | СУБД PostgreSQL Global Development Group PostgreSQL от 9.6.0 до 9.6.20 | СУБД PostgreSQL Global Development Group PostgreSQL от 10.0 до 10.15 | СУБД PostgreSQL Global Development Group PostgreSQL от 11.0 до 11.10 | СУБД PostgreSQL Global Development Group PostgreSQL от 12.0 до 12.5 | СУБД PostgreSQL Global Development Group PostgreSQL от 13.0 до 13.1 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система АО «ИВК» Альт 8 СП — | Программное средство защиты IBM Corp. IBM Security Access Manager до 9.0.7.2-ISS-ISAM-IF0003 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.3 | СУБД Postgres Professional Postgres Pro Certified до 11.11.1 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Common Edition 212 «Орёл» | Red Hat Enterprise Linux 8 | РЕД ОС 72 Муром | ОС ОН «Стрелец» 10 | Альт 8 СП — | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 12.11.2020.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-25694

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Astra Linux:
Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6502211

При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-25694.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2020-25694
https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.postgresql.org/support/security/
https://www.ibm.com/support/pages/node/6502211
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/
https://postgrespro.ru/products/postgrespro/certified
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: