Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2020-05467

CVSS: 9.8

12.11.2020

Уязвимость компонента client системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа "человек посередине"

Уязвимость компонента client системы управления базами данных PostgreSQL связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	12.11.2020
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Существует
Способ эксплуатации:	Нарушение аутентификации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/support/security/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-25694 Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified Для Astra Linux: Обновление программного обеспечения (пакета postgresql-9.6) до 9.6.20-0+deb9u1 или более поздней версии Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6502211 При невозможности выполнить обновление в качестве обходного пути можно отключить autovacuum и не запускать вручную операции ANALYZE, CLUSTER, REINDEX, CREATE INDEX, VACUUM FULL и REFRESH MATERIALIZED VIEW, а также не выполнять восстановление БД на основе вывода команды pg_dump. Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.13+repack1-1.pgdg100+1+osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-327	Использование скомпрометированного или ненадежного криптографического алгоритма
CWE-757	CWE-757 Selection of Less-Secure Algorithm During Negotiation ('Algorithm Downgrade')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-25694	A flaw was found in PostgreSQL versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.3	HIGH	2.0	AV:N/AC:M/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2020-25694

Вендор:	Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Red Hat Inc. ООО «Ред Софт» PostgreSQL Global Development Group АО «Концерн ВНИИНС» АО «ИВК» IBM Corp. АО "НППКТ" Postgres Professional
Тип ПО:	Операционная система Прикладное ПО информационных систем СУБД Программное средство защиты
Наименование ПО:	Debian GNU/Linux Astra Linux Common Edition Red Hat Enterprise Linux РЕД ОС Red Hat Software Collections PostgreSQL ОС ОН «Стрелец» Альт 8 СП IBM Security Access Manager ОСОН ОСнова Оnyx Postgres Pro Certified
Версия ПО:	9 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 8 (Red Hat Enterprise Linux) 7.2 Муром (РЕД ОС) - (Red Hat Software Collections) до 9.5.24 (PostgreSQL) от 9.6.0 до 9.6.20 (PostgreSQL) от 10.0 до 10.15 (PostgreSQL) от 11.0 до 11.10 (PostgreSQL) от 12.0 до 12.5 (PostgreSQL) от 13.0 до 13.1 (PostgreSQL) 1.0 (ОС ОН «Стрелец») - (Альт 8 СП) до 9.0.7.2-ISS-ISAM-IF0003 (IBM Security Access Manager) до 2.3 (ОСОН ОСнова Оnyx) до 11.11.1 (Postgres Pro Certified) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Astra Linux Common Edition (2.12 «Орёл») Red Hat Enterprise Linux (8) РЕД ОС (7.2 Муром) ОС ОН «Стрелец» (1.0) Альт 8 СП (-) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://access.redhat.com/security/cve/cve-2020-25694 https://lists.debian.org/debian-lts-announce/2020/12/msg00005.html https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://www.postgresql.org/support/security/ https://www.ibm.com/support/pages/node/6502211 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.3/ https://postgrespro.ru/products/postgrespro/certified https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2020-05467