БДУ - Уязвимости

BDU:2022-02928: Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-функции под учетной записью суперпользователя

Описание уязвимости	Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL связана с ошибками при обслуживании одним пользователем объектов другого. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-функции под учетной записью суперпользователя
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», ФССП России, PostgreSQL Global Development Group, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Software Collections, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, PostgreSQL, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) - (Red Hat Software Collections) 11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 14.3 (PostgreSQL) до 13.7 (PostgreSQL) до 12.11 (PostgreSQL) до 11.16 (PostgreSQL) до 10.21 (PostgreSQL) 4.7 (Astra Linux Special Edition) до 2.5.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, СУБД
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Неправильная авторизация
Идентификатор типа ошибки	CWE-863
Класс уязвимости	Уязвимость кода
Дата выявления	12.05.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение функции Avtovacuum; - ограничение круга лиц, имеющих административные права в базе данных; - ужесточение контроля доступа к административным функциям управления БД. Информация от производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2022-1552/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-1552 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-1552 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.16+repack1-1.pgdg100+1 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.postgresql.org/support/security/CVE-2022-1552/ https://access.redhat.com/security/cve/cve-2022-1552 https://security-tracker.debian.org/tracker/CVE-2022-1552 https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=677a494789062ca88e0142a17bedd5415f6ab0aa https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=ab49ce7c3414ac19e4afb386d7843ce2d2fb8bda https://www.postgresql.org/about/news/postgresql-143-137-1211-1116-and-1021-released-2449/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1552
Прочая информация	Данные уточняются

Последние изменения

03.02.2023 Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Juniper Networks Junos OS, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-сервера микропрограммного обеспечения Ethernet–коммутатора Moxa SDS-3008, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость программной платформы Cisco IOx, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнять произвольные команды в операционной системе с привилегиями root-пользователя
03.02.2023 Уязвимость компонента dcpfe операционных систем Juniper Networks Junos, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость пакета Airflow MySQL Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
03.02.2023 Уязвимость реализации протокола Link Layer Discovery Protocol (LLDP) микропрограммного обеспечения телефонов для конференц-связи Cisco Webex Room Phone и HDMI-адаптера Cisco Webex Share, связанная с ошибками освобождения памяти, позволяющая нарушителю вызвать отказ в обслуживании
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольные команды
03.02.2023 Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
03.02.2023 Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с использованием незащищенного канала для передачи данных по умолчанию, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольные команды

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»