Компенсационные меры по нейтрализации уязвимости PostgreSQL (BDU:2022-04971, она же CVE-2022-2625)

Новости Источник: Postgres Professional 

В последних минорных выпусках СУБД PostgreSQL, а также основанных на них выпусках СУБД Postgres Pro Standard, Postgres Pro Enterprise, устранена уязвимость CVE-2022-2625 (в базе данных уязвимостей ФСТЭК РФ она имеет идентификатор BDU:2022-04971). Исправленные версии имеют номера 14.5, 13.8, 12.12, 11.17, 10.22.

Описание уязвимости: Расширения PostgreSQL содержат в своем составе SQL скрипты, которые выполняются при установке или обновлении расширения. Если скрипты содержат команды CREATE OR REPLACE или CREATE IF NOT EXISTS, то злоумышленник, имеющий разрешение на создание невременных объектов, по крайней мере, в одной схеме, может дождаться, пока администратор создаст или обновит затронутое расширение в этой схеме, и заменить существующий объект, не принадлежащий расширению, с целью перехватить управление при его дальнейшем использовании другими пользователями.

Решение проблемы: Предотвращение замены объекта при выполнении скрипта расширения, если этот объект ранее не принадлежал расширению. Теперь скриптам расширения запрещается выполнять CREATE OR REPLACE для существующего объекта, не принадлежащего расширению. Также запрещается выполнять CREATE IF NOT EXISTS в аналогичной ситуации. Попутно эта защита снижает риск случайной замены объектов.

Компенсационные меры: Наилучшим решением является обновление вашей СУБД на новую минорную версию. Если это по каким-либо причинам невозможно, тогда рекомендованы следующие меры:

  • проверка расширений на возможность создания объектов в базе данных (убедитесь, что ни один из этих объектов не существует в вашей системе);
  • отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
  • использование входных данных только из доверенных источников.

Компания Postgres Professional проводит плановый выпуск минорных обновлений своих продуктов, в том числе и сертифицированных версий, содержащих устранение данной уязвимости. Все версии СУБД Postgres Pro Standard будут обновлены к 01.09.2022 г., а Postgres Pro Enterprise — к 15.09.2022 г.

Одновременно начата процедура сертификационных испытаний для сертифицированных версий продуктов Postgres Professional и подготовка материалов испытаний для ФСТЭК РФ. В соответствии с разъяснениями ФСТЭК РФ «Об особенностях сертификации средств защиты информации в системе сертификации ФСТЭК России» от 31.03.2022 г., пользоваться обновлением сертифицированных версий можно одновременно с направлением материалов испытаний во ФСТЭК РФ. До установки обновления специалисты компании рекомендуют использовать компенсирующие меры, указанные на сайте компании-производителя Postgres Professional в разделе «Новости». Адрес страницы сайта https://postgrespro.ru/blog.