Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09679

Опубликовано: 14 нояб. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL связана с ошибками в настройках системы или конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём изменения переменных среды (например, PATH)

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
PostgreSQL Global Development Group
Postgres Professional
ООО "Тантор Лабс"
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
РОСА Кобальт
РОСА ХРОМ
АЛЬТ СП 10
PostgreSQL
Postgres Pro Certified
СУБД «Tantor»
ROSA Virtualization 3.0
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
7.9 (РОСА Кобальт)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 17.1 (PostgreSQL)
до 16.5 (PostgreSQL)
до 15.9 (PostgreSQL)
до 14.14 (PostgreSQL)
до 13.17 (PostgreSQL)
до 12.21 (PostgreSQL)
до 17.1 (Postgres Pro Certified)
до 16.5 (Postgres Pro Certified)
до 15.9 (Postgres Pro Certified)
до 14.14 (Postgres Pro Certified)
до 13.17 (Postgres Pro Certified)
15 (СУБД «Tantor»)
3.0 (ROSA Virtualization 3.0)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10979/
Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1
Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2910
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2787

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.06099
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20241211-08

CVSS3: 8.8
redos
11 месяцев назад

Множественные уязвимости postgresql15-1c

redos логотип

ROS-20241211-07

CVSS3: 8.8
redos
11 месяцев назад

Множественные уязвимости postgresql-1c

redos логотип

ROS-20241211-06

CVSS3: 8.8
redos
11 месяцев назад

Множественные уязвимости postgresql16

redos логотип

ROS-20241211-05

CVSS3: 8.8
redos
11 месяцев назад

Множественные уязвимости postgresql15

redos логотип

ROS-20241211-04

CVSS3: 8.8
redos
11 месяцев назад

Множественные уязвимости postgresql14

EPSS

Процентиль: 90%
0.06099
Низкий

8.8 High

CVSS3

9 Critical

CVSS2