BDU:2020-05466
АО "НППКТ", ООО «Ред Софт», Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», PostgreSQL Global Developme Red Hat Enterprise Linux, Astra Linux Common Edition, PostgreSQL, Альт 8 СП, ОС ОН «Стрелец», Red Ha
2020-11-12
Уязвимость реализации мета-команды «gset» системы управления базами данных PostgreSQL связана с ошибками переключения контекста привилегий. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/about/news/postgresql-131-125-1110-1015-9620-and-9524-released-2111/
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-25696
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html
Для Astra Linux: Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии
При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Для ОС ОН «Стрелец»: Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства