Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-04174: Уязвимость системы управления базами данных PostgreSQL, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании с помощью специально созданного запроса
Вендор	ООО «Ред Софт», Canonical Ltd., PostgreSQL Global Development Group, АО "НППКТ"
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Ubuntu, PostgreSQL, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7.2 Муром (РЕД ОС) 20.04 LTS (Ubuntu) 21.04 (Ubuntu) от 11.0 до 11.13 (PostgreSQL) от 12.0 до 12.8 (PostgreSQL) от 13.0 до 13.4 (PostgreSQL) до 2.3 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, СУБД
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 21.04
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	12.08.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/about/news/postgresql-134-128-1113-1018-9623-and-14-beta-3-released-2277/ Для Ubuntu: https://ubuntu.com/security/notices/USN-5038-1?_ga=2.147731454.833616851.1629051722-1935390015.1629051722 Для РЕД ОС: Установка обновления с сайта производителя. http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://ubuntu.com/security/notices/USN-5038-1?_ga=2.147731454.833616851.1629051722-1935390015.1629051722 https://www.opennet.ru/opennews/art.shtml?num=55629 https://www.postgresql.org/about/news/postgresql-134-128-1113-1018-9623-and-14-beta-3-released-2277/ http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-3677
Прочая информация	Данные уточняются

Последние изменения