КиберосноваSGRC
BDU:2016-00663
Высокий

BDU:2016-00663: Уязвимость операционных систем Debian GNU/Linux и Ubuntu, системы управления базами данных PostgreSQL, позволяющая нарушителю повысить свои привилегии

CVSS v29.0
Открыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2016-00663

Описание

Уязвимость конфигурации операционных систем Debian GNU/Linux и Ubuntu, системы управления базами данных PostgreSQL связана с ошибками ограничения доступа к компоненту GUCS для PL/Java. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Что делать с BDU:2016-00663

Высокая уязвимость (CVSS 9.0) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v2
9.0
Только просмотр
AV:N/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

Уязвимое ПО (34)

ВендорНазваниеВерсияПлатформа
Canonical Ltd.Ubuntu14.04 LTS32-bit
Canonical Ltd.Ubuntu14.04 LTS64-bit
Canonical Ltd.Ubuntu14.04 LTSARM7
Canonical Ltd.Ubuntu14.04 LTSARM64
Canonical Ltd.Ubuntu12.04 LTS32-bit
Canonical Ltd.Ubuntu12.04 LTS64-bit
Canonical Ltd.Ubuntu12.04 LTSARM7
Canonical Ltd.Ubuntu12.04 LTSARM64
Сообщество свободного программного обеспеченияDebian GNU/Linux7System Z
Canonical Ltd.Ubuntu12.04 LTSPower
Canonical Ltd.Ubuntu14.04 LTSPower
Сообщество свободного программного обеспеченияDebian GNU/Linux832-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux864-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux8PowerPC
Сообщество свободного программного обеспеченияDebian GNU/Linux8SPARC
Сообщество свободного программного обеспеченияDebian GNU/Linux8ARM
Сообщество свободного программного обеспеченияDebian GNU/Linux8MIPS
Сообщество свободного программного обеспеченияDebian GNU/Linux8System Z
Сообщество свободного программного обеспеченияDebian GNU/Linux732-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux764-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux7PowerPC
Сообщество свободного программного обеспеченияDebian GNU/Linux7SPARC
Сообщество свободного программного обеспеченияDebian GNU/Linux7ARM
Сообщество свободного программного обеспеченияDebian GNU/Linux7MIPS
Canonical Ltd.Ubuntu15.1032-bit
Canonical Ltd.Ubuntu15.1064-bit
Canonical Ltd.Ubuntu15.10ARM7
Canonical Ltd.Ubuntu15.10ARM64
Canonical Ltd.Ubuntu15.10Power
PostgreSQL Global Development GroupPostgreSQLдо 9.1.20Не указана
PostgreSQL Global Development GroupPostgreSQLот 9.2.0 до 9.2.15Не указана
PostgreSQL Global Development GroupPostgreSQLот 9.3.0 до 9.3.11Не указана
PostgreSQL Global Development GroupPostgreSQLот 9.4.0 до 9.4.6Не указана
PostgreSQL Global Development GroupPostgreSQLот 9.5.0 до 9.5.1Не указана

Среды функционирования (8)

ВендорНазваниеВерсияПлатформа
Сообщество свободного программного обеспеченияLinux.64-bit
Сообщество свободного программного обеспеченияLinux.32-bit
Microsoft CorpWindows-64-bit
Microsoft CorpWindows-32-bit
Сообщество свободного программного обеспеченияUnix.64-bit
Сообщество свободного программного обеспеченияUnix.32-bit
Сообщество свободного программного обеспеченияUnix.Power
Сообщество свободного программного обеспеченияLinux.Power

Рекомендации по устранению

Использование рекомендаций производителя: http://www.debian.org/security/2016/dsa-3476

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.0

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации3.8%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2016-02-17

Опубликована

2016-03-23

Обновлена

2021-03-23

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0