BDU:2020-01320
АО "НППКТ", Canonical Ltd., АО «Концерн ВНИИНС», PostgreSQL Global Development Group, Сообщество сво Astra Linux Special Edition для «Эльбрус», Astra Linux Special Edition, ОС ОН «Стрелец», Ubuntu, Deb
2019-11-20
Уязвимость сценария pg_ctlcluster пакета postgresql-common связана с ошибкой сбрасывания прав доступа при создании временных каталогов для сокетов/статистики. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для postgresql-common: https://blog.mirch.io/2019/11/15/cve-2019-3466-debian-ubuntu-pg_ctlcluster-privilege-escalation/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2019-3466 https://security-tracker.debian.org/tracker/CVE-2019-3466
Для Ubuntu: https://usn.ubuntu.com/4194-2/ https://usn.ubuntu.com/4194-1/
Для Astra Linux: Обновление программного обеспечения (пакета postgresql-common) до 181+deb9u3 или более поздней версии
Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»: Обновление программного обеспечения postgresql-common до версии 181+deb9u3.osnova0
Для ОСОН ОСнова Оnyx (2.11): Обновление программного обеспечения postgresql-common до версии 246-1osnova1