Описание
Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и выполнить произвольный код с помощью команды CREATE SCHEMA
Вендор
Novell Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Amazon.com Inc.
АО «НТЦ ИТ РОСА»
PostgreSQL Global Development Group
FreeBSD Project
Postgres Professional
АО "НППКТ"
ООО «Газинформсервис»
Наименование ПО
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
Ubuntu
РЕД ОС
Astra Linux Special Edition
OpenSUSE Leap
Альт 8 СП
Suse Linux Enterprise Desktop
Amazon Linux 2
РОСА Кобальт
Amazon Linux
PostgreSQL
FreeBSD
РОСА ХРОМ
Postgres Pro Certified
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Jatoba
ROSA Virtualization 3.0
Версия ПО
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (Suse Linux Enterprise Server)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
15 SP2-LTSS (Suse Linux Enterprise Server)
- (Amazon Linux 2)
4.7 (Astra Linux Special Edition)
22.10 (Ubuntu)
15 SP3-LTSS (Suse Linux Enterprise Server)
7.9 (РОСА Кобальт)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
2023 (Amazon Linux)
от 11.0 до 11.20 (PostgreSQL)
от 12.0 до 12.15 (PostgreSQL)
от 13.0 до 13.11 (PostgreSQL)
от 14.0 до 14.8 (PostgreSQL)
от 15.0 до 15.3 (PostgreSQL)
- (FreeBSD)
12.4 (РОСА ХРОМ)
до 11.20.1 (Postgres Pro Certified)
до 14.8.2 (Postgres Pro Certified)
до 15.3.2 (Postgres Pro Certified)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
4.8 (Jatoba)
1.20 (Jatoba)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
СУБД
Операционные системы и аппаратные платформы
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Amazon.com Inc. Amazon Linux 2 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.10
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
Amazon.com Inc. Amazon Linux 2023
FreeBSD Project FreeBSD -
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2023-2454/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для Защищенная система управления базами данных «Jatoba»:
Обновление программного средства до актуальной версии
ДляDebian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2454
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6104-1
Для Amazon Linux:
https://explore.alas.aws.amazon.com/CVE-2023-2454.html
Для FreeBSD:
https://vulners.com/freebsd/FBB5A260-F00F-11ED-BBAE-6CC21735F730
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-2454.html
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux Special Edition 1.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения postgresql-11 до версии 11.21+repack1-0+deb10u2.osnova0
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2359
Для Astra Linux Special Edition 4.7:
обновить пакет postgresql-11 до 1:11.21-astra.se6+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 48%
0.00244
Низкий
7.2 High
CVSS3
8.3 High
CVSS2
Связанные уязвимости
CVSS3: 7.2
ubuntu
около 2 лет назад
schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.
CVSS3: 7.2
redhat
около 2 лет назад
schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.
CVSS3: 7.2
nvd
около 2 лет назад
schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.
EPSS
Процентиль: 48%
0.00244
Низкий
7.2 High
CVSS3
8.3 High
CVSS2