BDU:2024-02704
PostgreSQL Community Association of Canada, ООО «Ред Софт» pgAdmin 4, РЕД ОС
2024-04-04
Уязвимость инструмента управления базами данных pgAdmin 4 существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование антивирусного программного обеспечения для предотвращения выполнения несанкционированных действий на сервере БД; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: https://www.pgadmin.org/download/
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2024-3116/?sphrase_id=1075903