Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03221

Опубликовано: 29 окт. 2019
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функции SECURITY DEFINER системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL команды

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
PostgreSQL Global Development Group
АО «Концерн ВНИИНС»
Postgres Professional

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
Red Hat Virtualization
PostgreSQL
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»
Postgres Pro Certified

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
5 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
4 (Red Hat Virtualization)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
от 9.4 до 11 включительно (PostgreSQL)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
1.0 (ОС ОН «Стрелец»)
до 11.11.1 (Postgres Pro Certified)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Red Hat Inc. Red Hat Virtualization 4
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=8673743
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=752fa3d
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=2062007
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=7da4619
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=21f94c5
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10208
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10208
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.00388
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10208

CVSS3: 8.8
ubuntu
больше 5 лет назад

A flaw was discovered in postgresql versions 9.4.x before 9.4.24, 9.5.x before 9.5.19, 9.6.x before 9.6.15, 10.x before 10.10 and 11.x before 11.5 where arbitrary SQL statements can be executed given a suitable SECURITY DEFINER function. An attacker, with EXECUTE permission on the function, can execute arbitrary SQL as the owner of the function.

redhat логотип

CVE-2019-10208

CVSS3: 7.5
redhat
почти 6 лет назад

A flaw was discovered in postgresql versions 9.4.x before 9.4.24, 9.5.x before 9.5.19, 9.6.x before 9.6.15, 10.x before 10.10 and 11.x before 11.5 where arbitrary SQL statements can be executed given a suitable SECURITY DEFINER function. An attacker, with EXECUTE permission on the function, can execute arbitrary SQL as the owner of the function.

nvd логотип

CVE-2019-10208

CVSS3: 8.8
nvd
больше 5 лет назад

A flaw was discovered in postgresql versions 9.4.x before 9.4.24, 9.5.x before 9.5.19, 9.6.x before 9.6.15, 10.x before 10.10 and 11.x before 11.5 where arbitrary SQL statements can be executed given a suitable SECURITY DEFINER function. An attacker, with EXECUTE permission on the function, can execute arbitrary SQL as the owner of the function.

debian логотип

CVE-2019-10208

CVSS3: 8.8
debian
больше 5 лет назад

A flaw was discovered in postgresql versions 9.4.x before 9.4.24, 9.5. ...

suse-cvrf логотип

openSUSE-SU-2019:2062-1

suse-cvrf
почти 6 лет назад

Security update for postgresql10

EPSS

Процентиль: 59%
0.00388
Низкий

8.8 High

CVSS3

9 Critical

CVSS2