Уязвимость BDU:2024-03569: Информация
Описание
Уязвимость системных представлений pg_stats_ext, pg_stats_ext_exprs СУБД PostgreSQL, позволяющая нарушителю повысить свои привилегии
Важность: LOW (3,1) Вектор: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Опубликовано: 9 мая 2024 г.
Изменено: 9 мая 2024 г.
Исправленные пакеты
Ссылки на рекомендации, решения и инструменты
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Информация об устранении | Уязвимость устранена |
Тип ПО | Операционная система, СУБД |
Решение | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: 1. Ограничение данных в представлениях pg_stats_ext, pg_stats_ext_exprs владельцами таблиц или ролями, которые наследуют привилегии владельца таблицы. 2. Использование средств межсетевого экранирования для ограничения возможности удалённого доступа к СУБД. 3. Использование виртуальных частных сетей для организации удаленного доступа (VPN). 4. Скачать SQL-скрипт, соответствующий вашей версии PostgreSQL: PostgreSQL 16: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_16_STABLE PostgreSQL 15: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_15_STABLE PostgreSQL 14: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_14_STABLE Запустить скрипт в каждой базе данных кластера PostgreSQL от имени суперпользователя: \i /usr/share/postgresql/fix-CVE-2024-4317.sql Временно разрешить подключения к базам template0 и template1 командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS true; После запуска скрипта в template0 и template1, отозвать разрешение на подключения командой: ALTER DATABASE template0 WITH ALLOW_CONNECTIONS false; ALTER DATABASE template1 WITH ALLOW_CONNECTIONS false; Убедитесь, что скрипт был запущен в базах template0 и template1. Использование рекомендаций производителя: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2024-4317/ Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ |
Источники | https://vuldb.com/ru/?id.263670 https://www.cybersecurity-help.cz/vdb/SB2024050940 https://www.postgresql.org/support/security/CVE-2024-4317/ https://altsp.su/obnovleniya-bezopasnosti/ |
Идентификаторы других систем |