BDU:2024-03569
АО "НППКТ", ООО «Ред Софт», АО «ИВК», PostgreSQL Global Development Group, ООО "Тантор Лабс", АО «НТ PostgreSQL, АЛЬТ СП 10, Platform V Pangolin SE, СУБД «Tantor», Astra Linux Special Edition, ОСОН ОСн
2024-05-09
Уязвимость системных представлений pg_stats_ext, pg_stats_ext_exprs СУБД PostgreSQL связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: 1. Ограничение данных в представлениях pg_stats_ext, pg_stats_ext_exprs владельцами таблиц или ролями, которые наследуют привилегии владельца таблицы. 2. Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к СУБД. 3. Использование виртуальных частных сетей для организации удаленного доступа (VPN). 4. Скачать SQL-скрипт, соответствующий вашей версии PostgreSQL: PostgreSQL 16: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_16_STABLE PostgreSQL 15: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_15_STABLE PostgreSQL 14: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_14_STABLE
Запустить скрипт в каждой базе данных кластера PostgreSQL от имени суперпользователя: \i /usr/share/postgresql/fix-CVE-2024-4317.sql
Временно разрешить подключения к базам template0 и template1 командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS true;
После запуска скрипта в template0 и template1, отозвать разрешение на подключения командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS false; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS false; Убедитесь, что скрипт был запущен в базах template0 и template1.
Использование рекомендаций производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2024-4317/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Для АО «Сбербанк-Технологии»: Обновление Platform V Pangolin SE до версии 6.2.1 и выше
Для ОС Astra Linux: обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1