Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03024

Опубликовано: 11 мая 2023
Источник: fstec
CVSS3: 4.2
CVSS2: 3.6
EPSS Низкий

Описание

Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности

Вендор

FreeBSD Project
Novell Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Amazon.com Inc.
АО «НТЦ ИТ РОСА»
PostgreSQL Global Development Group
Postgres Professional
АО "НППКТ"
ООО «Газинформсервис»

Наименование ПО

FreeBSD
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
Ubuntu
РЕД ОС
Astra Linux Special Edition
OpenSUSE Leap
Альт 8 СП
Suse Linux Enterprise Desktop
Amazon Linux 2
РОСА Кобальт
PostgreSQL
Amazon Linux
РОСА ХРОМ
Postgres Pro Certified
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Jatoba
ROSA Virtualization 3.0

Версия ПО

. (FreeBSD)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (Suse Linux Enterprise Server)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
15 SP2-LTSS (Suse Linux Enterprise Server)
- (Amazon Linux 2)
4.7 (Astra Linux Special Edition)
22.10 (Ubuntu)
15 SP3-LTSS (Suse Linux Enterprise Server)
7.9 (РОСА Кобальт)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
до 15.3 (PostgreSQL)
до 14.8 (PostgreSQL)
до 13.11 (PostgreSQL)
до 12.15 (PostgreSQL)
до 11.20 (PostgreSQL)
2023 (Amazon Linux)
12.4 (РОСА ХРОМ)
до 11.20.1 (Postgres Pro Certified)
до 14.8.2 (Postgres Pro Certified)
до 15.3.2 (Postgres Pro Certified)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
4.8 (Jatoba)
1.20 (Jatoba)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

FreeBSD Project FreeBSD .
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Amazon.com Inc. Amazon Linux 2 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.10
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
Amazon.com Inc. Amazon Linux 2023
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2023-2455/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2455
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6104-1
Для Amazon Linux:
https://explore.alas.aws.amazon.com/CVE-2023-2455.html
Для FreeBSD:
https://vulners.com/freebsd/FBB5A260-F00F-11ED-BBAE-6CC21735F730
Для Защищенная система управления базами данных «Jatoba»:
Обновление программного средства до актуальной версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2455.html
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.21+repack1-0+deb10u2.osnova0
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2359
Для Astra Linux Special Edition 4.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00212
Низкий

4.2 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20240329-12

CVSS3: 8.8
redos
около 1 года назад

Множественные уязвимости postgresql13

redos логотип

ROS-20240329-11

CVSS3: 8.8
redos
около 1 года назад

Множественные уязвимости postgresql

ubuntu логотип

CVE-2023-2455

CVSS3: 5.4
ubuntu
около 2 лет назад

Row security policies disregard user ID changes after inlining; PostgreSQL could permit incorrect policies to be applied in certain cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy.

redhat логотип

CVE-2023-2455

CVSS3: 4.2
redhat
около 2 лет назад

Row security policies disregard user ID changes after inlining; PostgreSQL could permit incorrect policies to be applied in certain cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy.

nvd логотип

CVE-2023-2455

CVSS3: 5.4
nvd
около 2 лет назад

Row security policies disregard user ID changes after inlining; PostgreSQL could permit incorrect policies to be applied in certain cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy.

EPSS

Процентиль: 44%
0.00212
Низкий

4.2 Medium

CVSS3

3.6 Low

CVSS2