Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03221: Уязвимость функции SECURITY DEFINER системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольные SQL команды

Описание уязвимости	Уязвимость функции SECURITY DEFINER системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL команды
Вендор	Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, PostgreSQL Global Development Group
Наименование ПО	Red Hat Enterprise Linux , Astra Linux , Debian GNU/Linux , Red Hat Virtualization , PostgreSQL
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 5 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 4 (Red Hat Virtualization) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) от 9.4 до 11 включительно (PostgreSQL)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, СУБД
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 5 Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 ООО «РусБИТех-Астра» Astra Linux 1.6 «Смоленск» Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Virtualization 4 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	29.10.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS 3.0: Вектор не задан
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PostgreSQL: https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=8673743 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=752fa3d https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=2062007 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=7da4619 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=21f94c5 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2019-10208 Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-10208 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2019-10208 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=2062007 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=21f94c5 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=752fa3d https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=7da4619 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=8673743 https://nvd.nist.gov/vuln/detail/CVE-2019-10208 https://security-tracker.debian.org/tracker/CVE-2019-10208 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MD https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.postgresql.org/about/news/1960/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-10208
Прочая информация	Данные уточняются

Последние изменения