БДУ - Уязвимости

BDU:2022-07190: Уязвимость реализации методов PreparedStatement.setText() или PreparedStatement.setBytea() драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю раскрыть защищаемую информацию

Основная информация
Подробнее

Описание уязвимости

Уязвимость реализации методов PreparedStatement.setText() или PreparedStatement.setBytea() драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL связана с небезопасными временными файлами. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

Сообщество свободного программного обеспечения, PostgreSQL Global Development Group, АО "НППКТ"

Наименование ПО

Debian GNU/Linux, pgjdbc, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

10.0 (Debian GNU/Linux)
11.0 (Debian GNU/Linux)
до 42.2.27 (pgjdbc)
до 42.3.8 (pgjdbc)
до 42.4.3 (pgjdbc)
до 42.5.1 (pgjdbc)
до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)

Тип ошибки

Раскрытие информации, Небезопасные временные файлы

Идентификатор типа ошибки

Класс уязвимости

Уязвимость архитектуры

Дата выявления

23.11.2022

Базовый вектор уязвимости

CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:N/A:N

CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для драйвера JDBC (PgJDBC):
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-562r-vg33-8x8h

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41946

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

Несанкционированный сбор информации
Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-562r-vg33-8x8h
https://github.com/pgjdbc/pgjdbc/commit/9008dc9aade6dbfe4efafcd6872ebc55f4699cf5
https://www.cybersecurity-help.cz/vdb/SB2022112335
https://lists.debian.org/debian-lts-announce/2022/12/msg00003.html
https://security-tracker.debian.org/tracker/CVE-2022-41946
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-41946

Прочая информация

Данная уязвимость актуальна только для Unix-подобных систем.

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»