БДУ - Print

BDU:2022-07190: Уязвимость реализации методов PreparedStatement.setText() или PreparedStatement.setBytea() драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости	Уязвимость реализации методов PreparedStatement.setText() или PreparedStatement.setBytea() драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL связана с небезопасными временными файлами. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию
Вендор	Сообщество свободного программного обеспечения, PostgreSQL Global Development Group, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, pgjdbc, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	10.0 (Debian GNU/Linux), 11.0 (Debian GNU/Linux), до 42.2.27 (pgjdbc), до 42.3.8 (pgjdbc), до 42.4.3 (pgjdbc), до 42.5.1 (pgjdbc), до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Не указана АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 Не указана (запись в едином реестре российских программ №5913)
Тип ошибки	Раскрытие информации, Небезопасные временные файлы
Идентификатор типа ошибки	CWE-200, CWE-377
Класс уязвимости	Уязвимость архитектуры
Дата выявления	23.11.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:N/A:N CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для драйвера JDBC (PgJDBC): https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-562r-vg33-8x8h Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-41946 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Несанкционированный сбор информации Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-562r-vg33-8x8h https://github.com/pgjdbc/pgjdbc/commit/9008dc9aade6dbfe4efafcd6872ebc55f4699cf5 https://www.cybersecurity-help.cz/vdb/SB2022112335 https://lists.debian.org/debian-lts-announce/2022/12/msg00003.html https://security-tracker.debian.org/tracker/CVE-2022-41946 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-41946
Прочая информация	Данная уязвимость актуальна только для Unix-подобных систем.