BDU:2024-01541
АО "НППКТ", ООО «Ред Софт», ООО «НеМо», PostgreSQL Global Development Group, АО «НТЦ ИТ РОСА» pgjdbc, ОСОН ОСнова Оnyx, Программный комплекс информационной системы «Формирование ПД», ROSA Virtua
2024-02-19
Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SQL-запроса
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование режима запроса по умолчанию; - при настройке свойств соединения не использовать значение параметра preferQueryMode=simple; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
Использование рекомендаций производителя: https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (2.11): Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u4
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2829