БДУ - Print

BDU:2021-02776: Уязвимость системы управления базами данных PostgreSQL , связанная с выходом операции за границы буфера при обработке массива, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость системы управления базами данных PostgreSQL связана с выходом операции за границы буфера при обработке массива. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданных SQL-запросов
Вендор	ООО «Ред Софт», PostgreSQL Global Development Group, АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), PostgreSQL, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7.2 Муром (РЕД ОС), от 9.6 до 9.6.22 (PostgreSQL), от 10 до 10.17 (PostgreSQL), от 11 до 11.12 (PostgreSQL), от 12 до 12.7 (PostgreSQL), от 13 до 13.3 (PostgreSQL), 1.0 (ОС ОН «Стрелец»), до 2.3 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, СУБД
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.2 Муром Не указана (запись в едином реестре российских программ №3751)
Тип ошибки	Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	13.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.postgresql.org/support/security/CVE-2021-32027/ Для Ред ОС: https://redos.red-soft.ru/updatesec/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://www.cybersecurity-help.cz/vdb/SB2021051316 https://www.opennet.ru/opennews/art.shtml?num=55148 https://www.postgresql.org/support/security/CVE-2021-32027/ https://www.securitylab.ru/vulnerability/520085.php https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-32027
Прочая информация	Данные уточняются