BDU:2022-04971: Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками при использовании команд OR расширениями, позволяющая нарушителю повысить свои привилегии и заменить произвольные объекты в базе данных

Описание уязвимости Уязвимость системы управления базами данных PostgreSQL связана с ошибками при использовании команд OR расширениями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и заменить произвольные объекты в базе данных
Вендор PostgreSQL Global Development Group
Наименование ПО PostgreSQL
Версия ПО
  • до 14.5
  • до 13.8
  • до 12.12
  • до 11.17
  • до 10.22
  • до 15 Beta 3
Тип ПО СУБД
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.08.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- проверка расширений на возможность создания объектов в базе данных (убедитесь, что ни один из этих объектов не существует в вашей системе);
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование входных данных только из доверенных источников.

Использование рекомендаций:
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения