BDU:2023-07905

Опубликовано: 09 нояб. 2023

Источник: fstec

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

Уязвимость системы управления базами данных PostgreSQL связана с отсутствием защиты служебных данных в вызовах функций с агрегацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, когда в качестве аргумента передаётся тип unknown

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

АО «НТЦ ИТ РОСА»

PostgreSQL Global Development Group

Postgres Professional

ООО «Газинформсервис»

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Red Hat Software Collections

РЕД ОС

Astra Linux Special Edition

Альт 8 СП

РОСА Кобальт

ROSA Virtualization

РОСА ХРОМ

АЛЬТ СП 10

PostgreSQL

Postgres Pro Certified

Jatoba

ROSA Virtualization 3.0

Версия ПО

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

10 (Debian GNU/Linux)

- (Red Hat Software Collections)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

4.7 (Astra Linux Special Edition)

- (Альт 8 СП)

9 (Red Hat Enterprise Linux)

7.9 (РОСА Кобальт)

2.1 (ROSA Virtualization)

12.4 (РОСА ХРОМ)

- (АЛЬТ СП 10)

от 11 до 11.22 (PostgreSQL)

от 12 до 12.17 (PostgreSQL)

от 13 до 13.13 (PostgreSQL)

от 14 до 14.10 (PostgreSQL)

от 15 до 15.5 (PostgreSQL)

от 16 до 16.1 (PostgreSQL)

до 16.1.1 (Postgres Pro Certified)

до 15.5.1 (Postgres Pro Certified)

до 14.10.1 (Postgres Pro Certified)

до 11.22.1 (Postgres Pro Certified)

5.5.3 (Jatoba)

4.10.3 (Jatoba)

3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система

Прикладное ПО информационных систем

СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «ИВК» Альт 8 СП -

Red Hat Inc. Red Hat Enterprise Linux 9

АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9

АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для PostgreSQL:

https://www.postgresql.org/support/security/CVE-2023-5868/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-5868

Для Защищенная система управления базами данных «Jatoba»:

Обновление программного средства до актуальной версии

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2023-5868

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Postgres Pro Certified:

https://postgrespro.ru/products/postgrespro/certified

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2666

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2665

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Для ОС Astra Linux:

обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-5868
CVE

EPSS

Процентиль: 85%

0.02718

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

ROS-20240329-13

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости postgresql14

ROS-20240329-14

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости postgresql15

ROS-20240329-12

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости postgresql13

ROS-20240329-11

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости postgresql

CVE-2023-5868

CVSS3: 4.3

ubuntu

больше 1 года назад

A memory disclosure vulnerability was found in PostgreSQL that allows remote users to access sensitive information by exploiting certain aggregate function calls with 'unknown'-type arguments. Handling 'unknown'-type values from string literals without type designation can disclose bytes, potentially revealing notable and confidential information. This issue exists due to excessive data output in aggregate function calls, enabling remote users to read some portion of system memory.

EPSS

Процентиль: 85%

0.02718

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2