Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05465

Опубликовано: 12 нояб. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента core server системы управления базами данных PostgreSQL связана с недостаточной защитой структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на целостность, доступность и конфиденциальность данных

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
ООО «Ред Софт»
PostgreSQL Global Development Group
АО «Концерн ВНИИНС»
АО «ИВК»
IBM Corp.
АО "НППКТ"
Postgres Professional

Наименование ПО

Debian GNU/Linux
Astra Linux Common Edition
Red Hat Enterprise Linux
РЕД ОС
Red Hat Software Collections
PostgreSQL
ОС ОН «Стрелец»
Альт 8 СП
IBM Security Access Manager
ОСОН ОСнова Оnyx
Postgres Pro Certified

Версия ПО

9 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
7.2 Муром (РЕД ОС)
- (Red Hat Software Collections)
до 9.5.24 (PostgreSQL)
от 9.6.0 до 9.6.20 (PostgreSQL)
от 10.0 до 10.15 (PostgreSQL)
от 11.0 до 11.10 (PostgreSQL)
от 12.0 до 12.5 (PostgreSQL)
от 13.0 до 13.1 (PostgreSQL)
1.0 (ОС ОН «Стрелец»)
- (Альт 8 СП)
до 9.0.7.2-ISS-ISAM-IF0003 (IBM Security Access Manager)
до 2.3 (ОСОН ОСнова Оnyx)
до 11.11.1 (Postgres Pro Certified)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.2 Муром
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-25695
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6502211
Для Astra Linux:
Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии
При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump.
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2
Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.23807
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-25695

CVSS3: 8.8
ubuntu
больше 4 лет назад

A flaw was found in PostgreSQL versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24. An attacker having permission to create non-temporary objects in at least one schema can execute arbitrary SQL functions under the identity of a superuser. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

redhat логотип

CVE-2020-25695

CVSS3: 8.8
redhat
больше 4 лет назад

A flaw was found in PostgreSQL versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24. An attacker having permission to create non-temporary objects in at least one schema can execute arbitrary SQL functions under the identity of a superuser. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

nvd логотип

CVE-2020-25695

CVSS3: 8.8
nvd
больше 4 лет назад

A flaw was found in PostgreSQL versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24. An attacker having permission to create non-temporary objects in at least one schema can execute arbitrary SQL functions under the identity of a superuser. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

msrc логотип

CVE-2020-25695

CVSS3: 8.8
msrc
больше 4 лет назад

Описание отсутствует

debian логотип

CVE-2020-25695

CVSS3: 8.8
debian
больше 4 лет назад

A flaw was found in PostgreSQL versions before 13.1, before 12.5, befo ...

EPSS

Процентиль: 96%
0.23807
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2