BDU:2025-14360
ООО «РусБИТех-Астра», PostgreSQL Community Association of Canada pgAdmin 4, Astra Linux Special Edition
2025-11-04
Уязвимость инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при восстановлении данных из PLAIN-файлов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников; - использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников; - использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению; - использование SIEM-систем для отслеживания событий, связанных с восстановлением данных из PLAIN-файлов; - ограничение доступа из внешних сетей (Интернет); - сегментирование сети для ограничения доступа к уязвимому программному обеспечению; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: Обновление программного обеспечения до версии 9.10 и выше https://github.com/pgadmin-org/pgadmin4/issues/9320
Для ОС Astra Linux: обновить пакет pgadmin4 до 9.11-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18