КиберосноваSGRC
BDU:2024-06153
Высокий

BDU:2024-06153: Уязвимость утилиты pg_dump системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольный SQL-код

CVSS v38.8
CVSS v29.0

Детали уязвимости BDU:2024-06153

Описание

Уязвимость утилиты pg_dump системы управления базами данных PostgreSQL связана с разыменованием нулевого указателя из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольный SQL-код от имени пользователя, запускающего pg_dump и при условии сохранения нарушителем открытой транзакции

Что делать с BDU:2024-06153

Высокая уязвимость (CVSS 8.8) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.8Высокий
Пересчитать →
v2
9.0
Только просмотр
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

Тактики и техники

Манипулирование сроками и состоянием

Уязвимое ПО (23)

ВендорНазваниеВерсияПлатформа
ООО «Ред Софт»РЕД ОС7.3Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7Не указана
АО «ИВК»Альт 8 СП-Не указана
АО «НТЦ ИТ РОСА»РОСА Кобальт7.9Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization2.1Не указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
АО «ИВК»АЛЬТ СП 10-Не указана
PostgreSQL Global Development GroupPostgreSQLот 16 до 16.4Не указана
PostgreSQL Global Development GroupPostgreSQLот 15 до 15.8Не указана
PostgreSQL Global Development GroupPostgreSQLот 14 до 14.13Не указана
PostgreSQL Global Development GroupPostgreSQLот 13 до 13.16Не указана
PostgreSQL Global Development GroupPostgreSQLот 12 до 12.20Не указана
Postgres ProfessionalPostgres Pro Certifiedдо 16.4Не указана
Postgres ProfessionalPostgres Pro Certifiedдо 15.8Не указана
Postgres ProfessionalPostgres Pro Certifiedдо 14.13Не указана
Postgres ProfessionalPostgres Pro Certifiedдо 13.16Не указана
Postgres ProfessionalPostgres Pro Certifiedдо 12.20Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана
АО «СберТех»Platform V Pangolin SEдо 6.2.1Не указана
ООО «Тантор Лабс»СУБД «Tantor»15Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization 3.03.0Не указана
АО «НППКТ»ОСОН ОСнова Оnyxдо 2.12Не указана

Среды функционирования (13)

ВендорНазваниеВерсияПлатформа
ООО «Ред Софт»РЕД ОС7.3Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.7Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition4.7Не указана
АО «ИВК»Альт 8 СП-Не указана
АО «НТЦ ИТ РОСА»РОСА Кобальт7.9Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization2.1Не указана
АО «НТЦ ИТ РОСА»РОСА ХРОМ12.4Не указана
АО «ИВК»АЛЬТ СП 10-Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана
АО «ИВК»Альт Сервер 9-Не указана
АО «ИВК»Альт Сервер 10-Не указана
АО «НТЦ ИТ РОСА»ROSA Virtualization 3.03.0Не указана
АО «НППКТ»ОСОН ОСнова Оnyxдо 2.12Не указана

Рекомендации по устранению

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту; - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций производителя: https://postgrespro.ru/products/postgrespro/certified https://www.postgresql.org/support/security/CVE-2024-7348/ Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для АО «Сбербанк-Технологии»: Обновление Platform V Pangolin SE до версии 6.2.1 и выше Для ОС Astra Linux: обновить пакет postgresql-15 до 15.10-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD) Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2501 Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2589 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2743 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2742 Обновление программного обеспечения postgresql-15 до версии 15.10~repack1-0+deb12u1.osnova1 Для ОС Astra Linux: обновить пакет postgresql-11 до 1:11.22-astra.se5.1+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 Для ОС Astra Linux: обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2788 https://abf.rosa.ru/advisories/ROSA-SA-2025-3037

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.8

Уточните SLA под вашу среду

Базовый балл 8.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации1.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2024-08-08

Опубликована

2024-08-12

Обновлена

2025-11-06

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Сертификация ФСТЭК

Продукт сертифицирован ФСТЭК России — сертификат 2557 (действует).

Карточка сертификата в реестре СЗИ

Сертификация подтверждает соответствие требованиям по защите информации на момент выдачи и не гарантирует отсутствие уязвимостей.

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0