Описание
Множественные уязвимости postgresql
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета postgresql или Установить обновление для пакета(ов) postgresql
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
29.03.2024
CVE-2022-41862
Идентификатор БДУ ФСТЭК России:
BDU:2023-02003Описание уязвимости:
Уязвимость системы управления базами данных PostgreSQL связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки не прошедшей проверку строки во время установления сеанса Kerberos
3.7 Low
CVSS3
2.6 Low
CVSS2
CVE-2023-2454
Идентификатор БДУ ФСТЭК России:
BDU:2023-03247Описание уязвимости:
Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и выполнить произвольный код с помощью команды CREATE SCHEMA
7.2 High
CVSS3
8.3 High
CVSS2
CVE-2023-2455
Идентификатор БДУ ФСТЭК России:
BDU:2023-03024Описание уязвимости:
Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности
4.2 Medium
CVSS3
3.6 Low
CVSS2
CVE-2023-39417
Идентификатор БДУ ФСТЭК России:
BDU:2023-04767Описание уязвимости:
Уязвимость системы управления базами данных PostgreSQL связана возможностью SQL-инъекций в расширениях, которые используют конструкции цитирования (@extowner@, @extschema@ или @extschema:...@) внутри скобок (dollar quoting, '', или ""). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольный SQL-запрос к базе данных
7.5 High
CVSS3
7.1 High
CVSS2
CVE-2023-5868
Идентификатор БДУ ФСТЭК России:
BDU:2023-07905Описание уязвимости:
Уязвимость системы управления базами данных PostgreSQL связана с отсутствием защиты служебных данных в вызовах функций с агрегацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, когда в качестве аргумента передаётся тип unknown
4.3 Medium
CVSS3
4 Medium
CVSS2
CVE-2023-5869
Идентификатор БДУ ФСТЭК России:
BDU:2023-07840Описание уязвимости:
Уязвимость функций array_append, array_prepend, array_subscript_handler системы управления базами данных PostgreSQL связана с целочисленным переполнением при модификации массивов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2023-5870
Идентификатор БДУ ФСТЭК России:
BDU:2023-07904Описание уязвимости:
Уязвимость системы управления базами данных PostgreSQL связана с возможностью рассылки сигналов процессам суперпользователей с помощью роли pg_signal_backend. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании определенного фонового процесса
2.2 Low
CVSS3
1.7 Low
CVSS2