BDU:2022-02928: Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-функции под учетной записью суперпользователя

Описание уязвимости Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL связана с ошибками при обслуживании одним пользователем объектов другого. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-функции под учетной записью суперпользователя
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», ФССП России, PostgreSQL Global Development Group, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Software Collections, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, PostgreSQL, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • - (Red Hat Software Collections)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 14.3 (PostgreSQL)
  • до 13.7 (PostgreSQL)
  • до 12.11 (PostgreSQL)
  • до 11.16 (PostgreSQL)
  • до 10.21 (PostgreSQL)
  • 4.7 (Astra Linux Special Edition)
  • до 2.5.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, СУБД
Операционные системы и аппаратные платформы
Тип ошибки Неправильная авторизация
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.05.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функции Avtovacuum;
- ограничение круга лиц, имеющих административные права в базе данных;
- ужесточение контроля доступа к административным функциям управления БД.

Информация от производителя:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2022-1552/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1552

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1552

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.16+repack1-1.pgdg100+1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
  • CVE: CVE-2022-1552
Прочая информация Данные уточняются
Последние изменения