BDU:2026-01726
Postgres Professional, PostgreSQL Global Development Group PostgreSQL, Postgres Pro Certified
2026-02-12
Уязвимость функции обработки типов данных oidvector системы управления базами данных PostgreSQL связана с чтением за границами буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть байты памяти сервера и получить доступ к конфиденциальной информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2026-2003/
Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified
Компенсирующие меры: - Ограничение прав доступа у пользователей, не являющихся администраторами. Отозвать права на выполнение опасных операций у пользователей, не являющихся администраторами: REVOKE EXECUTE ON FUNCTION problematic_function() FROM PUBLIC; - Отключение опасных приведения типов. Если возможно, удалить или временно отключить неявные приведения (CAST) между oid[] → oidvector и int2[] → int2vector: DROP CAST IF EXISTS (oid[] AS oidvector); DROP CAST IF EXISTS (int2[] AS int2vector); - отключение/удаление не используемых учётных записей пользователей; - использовать мониторинг журналов аудита на предмет подозрительной активности.