BDU:2023-07840
ООО «Ред Софт», Red Hat Inc., АО «ИВК», PostgreSQL Global Development Group, Сообщество свободного п Red Hat Enterprise Linux, PostgreSQL, Альт 8 СП, АЛЬТ СП 10, СУБД «Tantor», Astra Linux Special Edit
2023-11-09
Уязвимость функций array_append, array_prepend, array_subscript_handler системы управления базами данных PostgreSQL связана с целочисленным переполнением при модификации массивов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - отключение вызова подверженных функций array_append, array_prepend, array_subscript_handler произвольным пользователем. Для этого от имени суперпользователя СУБД выполнить следующие команды:
REVOKE EXECUTE ON FUNCTION array_append FROM PUBLIC;
REVOKE EXECUTE ON FUNCTION array_prepend FROM PUBLIC;
REVOKE EXECUTE ON FUNCTION array_subscript_handler FROM PUBLIC;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование входных данных только из доверенных источников;
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости.
Использование рекомендаций производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2023-5869/ https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-5869
Для Защищенная система управления базами данных «Jatoba»: Обновление программного средства до актуальной версии
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-5869
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет postgresql-11 до 1:11.21-astra.se8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет postgresql-11 до 1:11.21-astra.se13+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2666
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788 https://abf.rosa.ru/advisories/ROSA-SA-2025-3037