BDU:2024-09681

АО "НППКТ", ООО «Ред Софт», АО «ИВК», PostgreSQL Global Development Group, ООО "Тантор Лабс", АО «НТ PostgreSQL, Альт 8 СП, АЛЬТ СП 10, СУБД «Tantor», Astra Linux Special Edition, ОСОН ОСнова Оnyx, ROS

НЕ ОЦЕНЕНО
Дата обнаружения

2024-11-14

Официальное описание

Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ к защищаемой информации

🛡️
Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры: - использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных; - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2024-10978/

Для PostgreSQL Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux: обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2787 https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей