Описание
Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ к защищаемой информации
Вендор
ООО «Ред Софт»
АО «ИВК»
ООО «РусБИТех-Астра»
PostgreSQL Global Development Group
Postgres Professional
ООО "Тантор Лабс"
АО "НППКТ"
Наименование ПО
РЕД ОС
Альт 8 СП
АЛЬТ СП 10
Astra Linux Special Edition
PostgreSQL
Postgres Pro Certified
СУБД «Tantor»
ОСОН ОСнова Оnyx
Версия ПО
7.3 (РЕД ОС)
- (Альт 8 СП)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 17.1 (PostgreSQL)
до 16.5 (PostgreSQL)
до 15.9 (PostgreSQL)
до 14.14 (PostgreSQL)
до 13.17 (PostgreSQL)
до 12.21 (PostgreSQL)
до 17.1 (Postgres Pro Certified)
до 16.5 (Postgres Pro Certified)
до 15.9 (Postgres Pro Certified)
до 14.14 (Postgres Pro Certified)
до 13.17 (Postgres Pro Certified)
15 (СУБД «Tantor»)
до 2.12 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
СУБД
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к хостовой операционной системе сервера базы данных;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2024-10978/
Для PostgreSQL Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)
Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 29%
0.00102
Низкий
4.2 Medium
CVSS3
3.6 Low
CVSS2
EPSS
Процентиль: 29%
0.00102
Низкий
4.2 Medium
CVSS3
3.6 Low
CVSS2