Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02776: Уязвимость системы управления базами данных PostgreSQL , связанная с выходом операции за границы буфера при обработке массива, позволяющая нарушителю выполнить произвольный код

Основная информация
Подробнее

Описание уязвимости

Уязвимость системы управления базами данных PostgreSQL связана с выходом операции за границы буфера при обработке массива. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданных SQL-запросов

Вендор

ООО «Ред Софт», PostgreSQL Global Development Group, АО «Концерн ВНИИНС», АО "НППКТ", Postgres Professional

Наименование ПО

РЕД ОС (запись в едином реестре российских программ №3751), PostgreSQL, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), Postgres Pro Certified

Версия ПО

7.2 Муром (РЕД ОС)
от 9.6 до 9.6.22 (PostgreSQL)
от 10 до 10.17 (PostgreSQL)
от 11 до 11.12 (PostgreSQL)
от 12 до 12.7 (PostgreSQL)
от 13 до 13.3 (PostgreSQL)
1.0 (ОС ОН «Стрелец»)
до 2.3 (ОСОН ОСнова Оnyx)
до 11.15.1 (Postgres Pro Certified)
до 14.2.1 (Postgres Pro Certified)

Тип ПО

Операционная система, СУБД

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)

Тип ошибки

Целочисленное переполнение или циклический сдвиг

Идентификатор типа ошибки

CWE-190

Класс уязвимости

Уязвимость кода

Дата выявления

13.05.2021

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.postgresql.org/support/security/CVE-2021-32027/

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для Ред ОС:
https://redos.red-soft.ru/updatesec/

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://redos.red-soft.ru/updatesec/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.cybersecurity-help.cz/vdb/SB2021051316
https://www.opennet.ru/opennews/art.shtml?num=55148
https://www.postgresql.org/support/security/CVE-2021-32027/
https://www.securitylab.ru/vulnerability/520085.php
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/
https://postgrespro.ru/products/postgrespro/certified

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2021-32027

Прочая информация

Данные уточняются

Последние изменения