BDU:2021-02775: Уязвимость реализации команд INSERT ... ON CONFLICT ... DO UPDATE системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости

Уязвимость реализации команд INSERT ... ON CONFLICT ... DO UPDATE системы управления базами данных PostgreSQL связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

ООО «Ред Софт», PostgreSQL Global Development Group, АО «Концерн ВНИИНС»

Версия ПО

  • 7.2 Муром (РЕД ОС)
  • от 9.6 до 9.6.22 (PostgreSQL)
  • от 10 до 10.17 (PostgreSQL)
  • от 11 до 11.12 (PostgreSQL)
  • от 12 до 12.7 (PostgreSQL)
  • от 13 до 13.3 (PostgreSQL)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, СУБД

Операционные системы и аппаратные платформы

Тип ошибки

Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

13.05.2021

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2021-32028/

Для Ред ОС:
https://redos.red-soft.ru/updatesec/

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Исчерпание ресурсов

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения