Описание
Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL связана с ошибками при обслуживании одним пользователем объектов другого. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-функции под учетной записью суперпользователя
Вендор
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
ООО «Ред Софт»
ФССП России
АО «ИВК»
PostgreSQL Global Development Group
АО "НППКТ"
АО «НТЦ ИТ РОСА»
Postgres Professional
Наименование ПО
Debian GNU/Linux
Astra Linux Special Edition
Red Hat Enterprise Linux
Red Hat Software Collections
РЕД ОС
ОС ТД АИС ФССП России
Альт 8 СП
PostgreSQL
ОСОН ОСнова Оnyx
ROSA Virtualization
Postgres Pro Certified
Версия ПО
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
до 14.3 (PostgreSQL)
до 13.7 (PostgreSQL)
до 12.11 (PostgreSQL)
до 11.16 (PostgreSQL)
до 10.21 (PostgreSQL)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 11.16.2 (Postgres Pro Certified)
до 14.4.1 (Postgres Pro Certified)
Тип ПО
Операционная система
Прикладное ПО информационных систем
СУБД
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение функции Avtovacuum;
- ограничение круга лиц, имеющих административные права в базе данных;
- ужесточение контроля доступа к административным функциям управления БД.
Информация от производителя:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2022-1552/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1552
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1552
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН Основа:
Обновление программного обеспечения postgresql-11 до версии 11.16+repack1-1.pgdg100+1
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет postgresql-9.6 до 9.6.24-astra.se13+ci10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
8.8 High
CVSS3
9 Critical
CVSS2