Уязвимость BDU:2022-04971

Дата: 11.08.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04971.

Наименование уязвимости: Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками при использовании команд OR расширениями, позволяющая нарушителю повысить свои привилегии и заменить произвольные объекты в базе данных.

Описание уязвимости: Уязвимость системы управления базами данных PostgreSQL связана с ошибками при использовании команд OR расширениями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и заменить произвольные объекты в базе данных
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | СУБД PostgreSQL Global Development Group PostgreSQL до 14.5 | СУБД PostgreSQL Global Development Group PostgreSQL до 13.8 | СУБД PostgreSQL Global Development Group PostgreSQL до 12.12 | СУБД PostgreSQL Global Development Group PostgreSQL до 11.17 | СУБД PostgreSQL Global Development Group PostgreSQL до 10.22 | СУБД PostgreSQL Global Development Group PostgreSQL до 15 Beta 3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 11.08.2022.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— проверка расширений на возможность создания объектов в базе данных (убедитесь, что ни один из этих объектов не существует в вашей системе);
— отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
— использование входных данных только из доверенных источников.

Использование рекомендаций:
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.17+repack1-1.pgdg100+1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-2625.

Тип ошибки CWE: CWE-264
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *