Обнаружена уязвимость в PostgreSQL, которая дает доступ к объектам КИИ

ФСТЭК объявила, что в середине февраля была обнаружена критическая ошибка BDU:2025-01601, которая позволяет реализовать атаку типа SQL-инъекции для популярной в России СУБД PostgreSQL и приложений, основанных на ее библиотеке libpq. Уязвимость подтверждена сообществом разработчиков, но уже имеет публично доступный эксплойт. Критичность обнаруженной ошибки оценивается как 9,8 из 10 по методике CVSS, что означает простоту эксплуатации и возможность исполнения постороннего кода.

Российские разработчики решений на базе PostgreSQL и дистрибутивов Linux, в поставку которых включена данная СУБД, сейчас занимаются оперативным исправлением своих продуктов и внедрением опубликованных исправлений в распространяемое ими ПО.

"Postgres Professional регулярно (минимум один раз в квартал) выпускает минорные обновления продуктов, в том числе сертифицированных ФСТЭК версий, – заявил для TAdviser Валерий Попов, руководитель отдела информационной безопасности и сертификации Postgres Professional. – Эту уязвимость устранили в последнем минорном релизе PostgreSQL с версиями 17.3, 16.7, 15.11, 14.16, 13.19. Младшие версии PostgreSQL – 12, 11 и ниже, которые не поддерживаются сообществом, также уязвимы, но их исправлять уже не будут. Релизы с устранением этой уязвимости будут обновлены к 01.03.2025 г., а редакция Postgres Pro Enterprise – к 09.03.2025 г."