BDU:2025-15208
ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения PgBouncer, Astra Linux Special Edition
2025-12-03
Уязвимость программного обеспечения для пула соединения в PostgreSQL PgBouncer связана с ненадежным путем поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: 1. В настройках следующих параметров конфигурации необходимо: • в параметре track_extra_parameters не должно быть указано значение search_path (не является настройкой по умолчанию); • в параметре auth_user не должно быть указано имя привилегированного пользователя, от имени которого может быть выполнен произвольный код (не является настройкой по умолчанию); • в параметре auth_query должны быть указаны полные имена объектов.; 2. Перед использованием любых внешних данных (переменных, параметров) для построения пути их необходимо очищать и проверять; 3. Использовать мониторинг журналов аудита на предмет подозрительной активности; 4. используйте межсетевые экраны для ограничения доступа к портам pgbouncer (обычно 6432) и PostgreSQL (обычно 5432). Доступ должен быть разрешен только с доверенных IP-адресов (например, с серверов приложений); 5. При наличии IDS/IPS решения в инфраструктуре, обеспечить мониторинг сетевого трафика, идущего к pgbouncer и от него, на предмет аномалий и потенциальных атак (например, попыток SQL-инъекций или перебора паролей). Для pgbouncer: https://www.pgbouncer.org/changelog.html#pgbouncer-125x Для ОС Astra Linux: обновить пакет pgbouncer до 1.18.0-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18