Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-07840

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2023-07840
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2023-07840

CVSS: 8.8
09.11.2023

Уязвимость функций array_append, array_prepend, array_subscript_handler системы управления базами данных PostgreSQL, связанная с целочисленным переполнением при модификации массивов, позволяющая нарушителю выполнить произвольный код

Уязвимость функций array_append, array_prepend, array_subscript_handler системы управления базами данных PostgreSQL связана с целочисленным переполнением при модификации массивов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 09.11.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует
Способ эксплуатации: Манипулирование структурами данных
Способ устранения: Нет данных
Меры по устранению: Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение вызова подверженных функций array_append, array_prepend, array_subscript_handler произвольным пользователем. Для этого от имени суперпользователя СУБД выполнить следующие команды:

REVOKE EXECUTE ON FUNCTION array_append FROM PUBLIC;

REVOKE EXECUTE ON FUNCTION array_prepend FROM PUBLIC;

REVOKE EXECUTE ON FUNCTION array_subscript_handler FROM PUBLIC;

- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование входных данных только из доверенных источников;
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
Для PostgreSQL:
https://www.postgresql.org/support/security/CVE-2023-5869/
https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-5869

Для Защищенная система управления базами данных «Jatoba»:
Обновление программного средства до актуальной версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-5869

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет postgresql-11 до 1:11.21-astra.se8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет postgresql-11 до 1:11.21-astra.se13+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для СУБД «Tantor»:
обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/(https://wiki.astralinux.ru/x/ziLoD)

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2486

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2485

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2484

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2666

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-190 Целочисленное переполнение или циклический возврат

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-5869 Postgresql: buffer overrun from integer overflow in array modification

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
9 HIGH 2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C
8.8 HIGH 3.0 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-5869
Вендор:
  • Red Hat Inc.
  • Сообщество свободного программного обеспечения
  • ООО «Ред Софт»
  • ООО «РусБИТех-Астра»
  • АО «ИВК»
  • АО «НТЦ ИТ РОСА»
  • PostgreSQL Global Development Group
  • Postgres Professional
  • ООО «Газинформсервис»
  • ООО "Тантор Лабс"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
  • СУБД
Наименование ПО:
  • Red Hat Enterprise Linux
  • Debian GNU/Linux
  • Red Hat Software Collections
  • РЕД ОС
  • Astra Linux Special Edition
  • Альт 8 СП
  • РОСА Кобальт
  • ROSA Virtualization
  • РОСА ХРОМ
  • АЛЬТ СП 10
  • PostgreSQL
  • Postgres Pro Certified
  • Jatoba
  • СУБД «Tantor»
  • ROSA Virtualization 3.0
Версия ПО:
  • 7 (Red Hat Enterprise Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • - (Red Hat Software Collections)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • 4.7 (Astra Linux Special Edition)
  • 7.9 (РОСА Кобальт)
  • 2.1 (ROSA Virtualization)
  • 12.4 (РОСА ХРОМ)
  • - (АЛЬТ СП 10)
  • от 11 до 11.22 (PostgreSQL)
  • от 12 до 12.17 (PostgreSQL)
  • от 13 до 13.13 (PostgreSQL)
  • от 14 до 14.10 (PostgreSQL)
  • от 15 до 15.5 (PostgreSQL)
  • от 16 до 16.1 (PostgreSQL)
  • до 16.1.1 (Postgres Pro Certified)
  • до 15.5.1 (Postgres Pro Certified)
  • до 14.10.1 (Postgres Pro Certified)
  • до 11.22.1 (Postgres Pro Certified)
  • 5.5.3 (Jatoba)
  • 4.10.3 (Jatoba)
  • 15 (СУБД «Tantor»)
  • 3.0 (ROSA Virtualization 3.0)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (7)
  • Red Hat Enterprise Linux (8)
  • Debian GNU/Linux (10)
  • Debian GNU/Linux (11)
  • Debian GNU/Linux (12)
  • РЕД ОС (7.3)
  • Astra Linux Special Edition (1.7)
  • Альт 8 СП (-)
  • Red Hat Enterprise Linux (9)
  • Astra Linux Special Edition (4.7)
  • РОСА Кобальт (7.9)
  • ROSA Virtualization (2.1)
  • РОСА ХРОМ (12.4)
  • АЛЬТ СП 10 (-)
  • ROSA Virtualization 3.0 (3.0)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.