Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05857

Опубликовано: 11 нояб. 2021
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость системы управления базами данных PostgreSQL связана с непринятием мер по шифрованию защищаемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Novell Inc.
PostgreSQL Global Development Group
ООО «РусБИТех-Астра»
ФССП России
АО «ИВК»
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
SUSE OpenStack Cloud
SUSE Linux Enterprise Software Development Kit
SUSE OpenStack Cloud Crowbar
HPE Helion Openstack
Red Hat Software Collections
SUSE Linux Enterprise High Performance Computing
PostgreSQL
Astra Linux Special Edition
ОС ТД АИС ФССП России
Альт 8 СП
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-LTSS (Suse Linux Enterprise Server)
8 (SUSE OpenStack Cloud)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
8 (SUSE OpenStack Cloud Crowbar)
10 (Debian GNU/Linux)
8 (HPE Helion Openstack)
- (Red Hat Software Collections)
12 SP3-ESPOS (Suse Linux Enterprise Server)
9 (SUSE OpenStack Cloud)
9 (SUSE OpenStack Cloud Crowbar)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
15-LTSS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15-ESPOS (Suse Linux Enterprise Server)
21.04 (Ubuntu)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
до 14.1 (PostgreSQL)
до 13.5 (PostgreSQL)
до 12.9 (PostgreSQL)
до 11.14 (PostgreSQL)
до 10.19 (PostgreSQL)
до 9.6.24 (PostgreSQL)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
до 2.5 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15-ESPOS
Canonical Ltd. Ubuntu 21.04
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/about/news/postgresql-141-135-129-1114-1019-and-9624-released-2349/
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=046c2c846b741a12e7fd61d8d86bf324a20e3dfc
Для Ubuntu:
https://ubuntu.com/security/CVE-2021-23214
https://ubuntu.com/security/notices/USN-5145-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23214
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-23214
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23214.html
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.15+repack1-1.pgdg100+1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7:
обновить пакет postgresql-11 до 11.10-astra.se13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00337
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20220125-13

redos
больше 3 лет назад

Уязвимость СУБД PostgreSQL

ubuntu логотип

CVE-2021-23214

CVSS3: 8.1
ubuntu
больше 3 лет назад

When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.

redhat логотип

CVE-2021-23214

CVSS3: 8.1
redhat
больше 3 лет назад

When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.

nvd логотип

CVE-2021-23214

CVSS3: 8.1
nvd
больше 3 лет назад

When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.

msrc логотип

CVE-2021-23214

CVSS3: 8.1
msrc
больше 3 лет назад

Описание отсутствует

EPSS

Процентиль: 56%
0.00337
Низкий

8.1 High

CVSS3

7.6 High

CVSS2