BDU:2022-04971
АО "НППКТ", АО «ИВК», PostgreSQL Global Development Group, ООО «РусБИТех-Астра», Postgres Profession PostgreSQL, Альт 8 СП, Astra Linux Special Edition, ОСОН ОСнова Оnyx, Postgres Pro Certified
2022-08-11
Уязвимость системы управления базами данных PostgreSQL связана с ошибками при использовании команд OR расширениями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и заменить произвольные объекты в базе данных
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - проверка расширений на возможность создания объектов в базе данных (убедитесь, что ни один из этих объектов не существует в вашей системе); - отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей; - использование входных данных только из доверенных источников.
Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/ Для Astra Linux Special Edition 1.7 архитектуры x86-64: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения postgresql-11 до версии 11.17+repack1-1.pgdg100+1
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Для ОС Astra Linux Special Edition 1.7: обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства