BDU:2020-05467
IBM Corp., АО "НППКТ", ООО «Ред Софт», Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», PostgreSQL Globa Red Hat Enterprise Linux, Astra Linux Common Edition, PostgreSQL, Альт 8 СП, ОС ОН «Стрелец», Red Ha
2020-11-12
Уязвимость компонента client системы управления базами данных PostgreSQL связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/support/security/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-25694
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Для Astra Linux: Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html
Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6502211
При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Для ОС ОН «Стрелец»: Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства