Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-05535

CVSS: 3.7

11.11.2021

Уязвимость библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа "человек посередине"

Уязвимость библиотеки libpq системы управления базами данных PostgreSQL связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.11.2021
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Несанкционированный сбор информации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для PostgreSQL: https://www.postgresql.org/support/security/CVE-2021-23222/ Для Postgres Pro Certified: https://postgrespro.ru/products/postgrespro/certified Для Ubuntu: https://ubuntu.com/security/notices/USN-5145-1 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения postgresql-11 до версии 11.15+repack1-1.pgdg100+1 Для ОС ОН «Стрелец»: Обновление программного обеспечения postgresql-9.6 до версии 9.6.24+repack1-1.pgdg90+1 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-522	Недостаточно надежная защита учетных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-23222	A man-in-the-middle attacker can inject false responses to the client's first few queries, despite the use of SSL certificate...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
2.6	LOW	2.0	AV:N/AC:H/Au:N/C:P/I:N/A:N
3.7	LOW	3.0	AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2021-23222

Вендор:	Canonical Ltd. PostgreSQL Global Development Group ФССП России АО «ИВК» АО "НППКТ" Postgres Professional АО «Концерн ВНИИНС»
Тип ПО:	Операционная система СУБД
Наименование ПО:	Ubuntu PostgreSQL ОС ТД АИС ФССП России Альт 8 СП ОСОН ОСнова Оnyx Postgres Pro Certified ОС ОН «Стрелец»
Версия ПО:	18.04 LTS (Ubuntu) 20.04 LTS (Ubuntu) 21.04 (Ubuntu) 21.10 (Ubuntu) от 14 до 14.1 (PostgreSQL) от 13 до 13.5 (PostgreSQL) от 12 до 12.9 (PostgreSQL) от 11 до 11.14 (PostgreSQL) от 10 до 10.19 (PostgreSQL) от 9.6 до 9.6.24 (PostgreSQL) ИК6 (ОС ТД АИС ФССП России) - (Альт 8 СП) до 2.5 (ОСОН ОСнова Оnyx) до 11.15.1 (Postgres Pro Certified) до 14.2.1 (Postgres Pro Certified) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Ubuntu (18.04 LTS) Ubuntu (20.04 LTS) Ubuntu (21.04) Ubuntu (21.10) ОС ТД АИС ФССП России (ИК6) Альт 8 СП (-) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://www.postgresql.org/support/security/CVE-2021-23222/ https://access.redhat.com/security/cve/cve-2021-23222 https://ubuntu.com/security/notices/USN-5145-1 https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://postgrespro.ru/products/postgrespro/certified https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-05535