уязвимость

Уязвимости PostgreSQL. Что важно знать?

Новостная редакция

1 min read
Уязвимости PostgreSQL. Что важно знать?


Разработчики PostgreSQL выпустили обновления безопасности для устранения уязвимостей в системе управления базами данных. Информация о выпущенных обновлениях безопасности для PostgreSQL является важной для всех организаций и специалистов, использующих эту систему управления базами данных. Обновления предназначены для устранения трех уязвимостей: CVE-2023-5869, CVE-2023-5868 и CVE-2023-5870. 

Специалисты KZ-CERT рассмотрели более детально, кто использует PostgreSQL и какие меры безопасности необходимо принять. 

Кто использует PostgreSQL?

Бэкенд-разработчики. Эти специалисты взаимодействуют с базами данных при работе с «серверной» частью веб-сайтов. Они создают запросы к базам данных и обеспечивают их эффективную работу.

Администраторы и разработчики баз данных. Это эксперты, занимающиеся обслуживанием и поддержкой баз данных. Их задачи включают управление, оптимизацию и обеспечение безопасности баз данных.

DevOps-инженеры. Эти специалисты отвечают за обслуживание рабочей инфраструктуры проекта, включая инфраструктуру баз данных.  PostgreSQL, будучи системой управления объектно-реляционными базами данных, играет ключевую роль в обеспечении целостности и безопасности большого объема важных данных.

Отметим, что в настоящее время наблюдается рост количества  информационных систем критически важных объектов информационно-коммуникационной инфраструктуры нашей страны переходящих на использование  PostgreSQL по причинам экономии финансовых средств, отказа от вендорной зависимости и тд. 

В этой связи выявленные уязвимости  критичны для своевременного  устранения.  

Описание уязвимостей:

  • CVE-2023-5869 (CVSS 8.8 из 10)

Эта уязвимость вызвана недостатком в обработке модификаций массивов в PostgreSQL. Это может позволить злоумышленнику выполнить произвольный код на сервере PostgreSQL.

  • CVE-2023-5868 (CVSS 4.3 из 10) 

Данная уязвимость вызвана ошибкой в обработке PostgreSQL определённых агрегатных функций. Это может позволить злоумышленнику прочитать конфиденциальные данные с сервера PostgreSQL.

  • CVE-2023-5870 (CVSS 2.2 из 10)

Эта уязвимость вызвана недостатком в способе обработки PostgreSQL роли pg_signal_backend. Она позволяет роли pg_signal_backend отправлять сигналы определенным процессам, что может нарушить работу сервера PostgreSQL. 

Для организаций, использующих затронутые версии PostgreSQL, рекомендуется незамедлительно применить обновления. Это критически важная мера для обеспечения безопасности базы данных и предотвращения возможных киберугроз. 

Следует признать, что обеспечение безопасности баз данных PostgreSQL является одним из ключевых аспектов для обеспечения целостности и безопасности данных. Применение рекомендуемых обновлений и соблюдение политик безопасности представляют собой критически важные шаги для поддержания безопасности вашей информационной инфраструктуры.