ФСТЭК РФ сертифицировал обновление СУБД Postgres Pro

Федеральная служба по техническому и экспортному контролю переоформила сертификат соответствия для обновленной Postgres Pro Certified – защищенной СУБД для ответственных применений.

Сертифицированные версии линейки СУБД Postgres Pro предназначены для работы с персональными и конфиденциальными данными. Они содержат встроенные средства защиты от несанкционированного доступа к информации, встроенный контроль целостности исполняемых файлов и другие важные с точки зрения безопасности функции.

Обновленная Postgres Pro Certified поддерживает две версии ядра СУБД – 11.15.1 и 14.2.1. В релизе устранены уязвимости, проявлявшиеся при использовании SSL-соединений. CVE-2021-23222, уязвимость в клиентской библиотеке libpq заключалась в том, что злоумышленники (MITM, «чужой-посередине») могли подменить несколько первых ответов на запросы клиента. Уязвимость ядра CVE-2021-23214 позволяла атакующим вводить произвольные запросы при первом установлении соединения.

Также устранили уязвимость CVE-2021-2022, при которой пользователь, имеющий доступ хотя бы к одной колонке, мог обойти ограничения доступа к другим колонкам, сформировав специальный SQL-запрос. Уязвимость CVE-2021-20227 позволяла аутентифицированным пользователям базы данных записывать произвольные байты в обширную область памяти сервера, поскольку при изменении определенного массива значений отсутствовала проверка выхода за границы.

Эксплуатируя уязвимость CVE-2021-3677, злоумышленники могли формировать специально подготовленные запросы и читать произвольные участки памяти сервера. Кроме того, была устранена уязвимость CVE-2021-20228, когда аутентифицированный пользователь базы данных мог считывать произвольные байты памяти сервера, используя команду INSERT ... ON CONFLICT ... DO UPDATE для специально созданной таблицы.