Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02775: Уязвимость реализации команд INSERT ... ON CONFLICT ... DO UPDATE системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость реализации команд INSERT ... ON CONFLICT ... DO UPDATE системы управления базами данных PostgreSQL связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор	ООО «Ред Софт», PostgreSQL Global Development Group, АО «Концерн ВНИИНС», АО "НППКТ", Postgres Professional
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), PostgreSQL, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), Postgres Pro Certified
Версия ПО	7.2 Муром (РЕД ОС) от 9.6 до 9.6.22 (PostgreSQL) от 10 до 10.17 (PostgreSQL) от 11 до 11.12 (PostgreSQL) от 12 до 12.7 (PostgreSQL) от 13 до 13.3 (PostgreSQL) 1.0 (ОС ОН «Стрелец») до 2.3 (ОСОН ОСнова Оnyx) до 11.15.1 (Postgres Pro Certified) до 14.2.1 (Postgres Pro Certified)
Тип ПО	Операционная система, СУБД
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
Тип ошибки	Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)
Идентификатор типа ошибки	CWE-401
Класс уязвимости	Уязвимость кода
Дата выявления	13.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2021-32028/ Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified Для Ред ОС: https://redos.red-soft.ru/updatesec/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://www.cybersecurity-help.cz/vdb/SB2021051316 https://www.opennet.ru/opennews/art.shtml?num=55148 https://www.postgresql.org/support/security/CVE-2021-32028/ https://www.securitylab.ru/vulnerability/520085.php https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/ https://postgrespro.ru/products/postgrespro/certified
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-32028
Прочая информация	Данные уточняются

Последние изменения