Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2025-01601

CVSS: 9.8

13.02.2025

Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код

Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	13.02.2025
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Данные уточняются
Способ устранения:	Нет данных
Меры по устранению:	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству; - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству; - использование SIEM-систем для отслеживания попыток эксплуатации уязвимости; - использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости. Использование рекомендаций производителя: https://www.postgresql.org/support/security/CVE-2025-1094/ Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-postgresql16-cve-2025-109450548492/?sphrase_id=806649 Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10.3, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD) Для СУБД «Platform V Pangolin DB»: обновление программного обеспечения до версии 6.4.2_cve0 или выше Для ОС Astra Linux: обновить пакет postgresql-15 до 15.12-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 Для ОС Astra Linux: обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-149	Improper Neutralization of Quoting Syntax
CWE-89	Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2025-1094	PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20250303-24	03.03.2025	Выполнение произвольного кода в PostgreSQL
VULN:20250416-57	16.04.2025	Выполнение произвольного кода в Oracle Linux

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2025-1094

Вендор:	ООО «Ред Софт» ООО «РусБИТех-Астра» Postgres Professional PostgreSQL Global Development Group Сообщество свободного программного обеспечения ООО "Тантор Лабс" АО «СберТех»
Тип ПО:	Операционная система СУБД Прикладное ПО информационных систем
Наименование ПО:	РЕД ОС Astra Linux Special Edition Postgres Pro Certified PostgreSQL libpq СУБД «Tantor» Platform V Pangolin SE
Версия ПО:	7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) 1.8 (Astra Linux Special Edition) до 17.3 (Postgres Pro Certified) до 16.7 (Postgres Pro Certified) до 15.11 (Postgres Pro Certified) до 14.16 (Postgres Pro Certified) до 13.19 (Postgres Pro Certified) до 17.3 (PostgreSQL) до 16.7 (PostgreSQL) до 15.11 (PostgreSQL) до 14.16 (PostgreSQL) до 13.19 (PostgreSQL) - (libpq) до 15.10.3 (СУБД «Tantor») до 6.4.2 включительно (Platform V Pangolin SE)
ОС и аппаратные платформы:	РЕД ОС (7.3) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) Astra Linux Special Edition (1.8) Platform V SberLinux OS Server (-)
Ссылки на источники:	https://www.postgresql.org/support/security/CVE-2025-1094/ https://attackerkb.com/topics/G5s8ZWAbYH/cve-2024-12356/rapid7-analysis https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-postgresql16-cve-2025-109450548492/?sphrase_id=806649 https://lk-new.astralinux.ru/ https://wiki.astralinux.ru/x/ziLoD https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2025-01601