Vulnerability BDU:2024-03569: Information
Description
Уязвимость системных представлений pg_stats_ext, pg_stats_ext_exprs СУБД PostgreSQL, позволяющая нарушителю повысить свои привилегии
Severity: LOW (3.1) Vector: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Published: May 9, 2024
Modified: May 9, 2024
Fixed packages
References to Advisories, Solutions, and Tools
Vulnerability Status | Подтверждена производителем |
Presence of an exploit | Данные уточняются |
Fix status | Уязвимость устранена |
Software Type | Операционная система, СУБД |
Solution | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: 1. Ограничение данных в представлениях pg_stats_ext, pg_stats_ext_exprs владельцами таблиц или ролями, которые наследуют привилегии владельца таблицы. 2. Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к СУБД. 3. Использование виртуальных частных сетей для организации удаленного доступа (VPN). 4. Скачать SQL-скрипт, соответствующий вашей версии PostgreSQL: PostgreSQL 16: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_16_STABLE PostgreSQL 15: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_15_STABLE PostgreSQL 14: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_14_STABLE Запустить скрипт в каждой базе данных кластера PostgreSQL от имени суперпользователя: \i /usr/share/postgresql/fix-CVE-2024-4317.sql Временно разрешить подключения к базам template0 и template1 командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS true; После запуска скрипта в template0 и template1, отозвать разрешение на подключения командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS false; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS false; Убедитесь, что скрипт был запущен в базах template0 и template1. Использование рекомендаций производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2024-4317/ Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ |
Sources | https://vuldb.com/ru/?id.263670 https://www.cybersecurity-help.cz/vdb/SB2024050940 https://www.postgresql.org/support/security/CVE-2024-4317/ https://altsp.su/obnovleniya-bezopasnosti/ |
Other system identifiers |