BDU:2024-06153
АО "НППКТ", ООО «Ред Софт», АО «ИВК», PostgreSQL Global Development Group, ООО "Тантор Лабс", АО «НТ PostgreSQL, Альт 8 СП, АЛЬТ СП 10, Platform V Pangolin SE, Astra Linux Special Edition, СУБД «Tantor
2024-08-08
Уязвимость утилиты pg_dump системы управления базами данных PostgreSQL связана с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-код от имени пользователя, запускающего pg_dump и при условии сохранения нарушителем открытой транзакции
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: https://postgrespro.ru/products/postgrespro/certified https://www.postgresql.org/support/security/CVE-2024-7348/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для АО «Сбербанк-Технологии»: Обновление Platform V Pangolin SE до версии 6.2.1 и выше
Для ОС Astra Linux: обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2589
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2742
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1
Для ОС Astra Linux: обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux: обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788 https://abf.rosa.ru/advisories/ROSA-SA-2025-3037