ИНФОРМАЦИЯ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ POSTGRESQL
Разработчики PostgreSQL выпустили обновления безопасности для устранения уязвимостей в системе управления базами данных. Информация о выпущенных обновлениях безопасности для PostgreSQL является важной для всех организаций и специалистов, использующих эту систему управления базами данных. Обновления предназначены для устранения трех уязвимостей: CVE-2023-5869, CVE-2023-5868 и CVE-2023-5870. Давайте более детально рассмотрим, кто использует PostgreSQL и какие меры безопасности необходимо принять.
Кто использует PostgreSQL?
1. Бэкенд-разработчики
Эти специалисты взаимодействуют с базами данных при работе с “серверной” частью веб-сайтов. Они создают запросы к базам данных и обеспечивают их эффективную работу.
2. Администраторы и разработчики баз данных
Это эксперты, занимающиеся обслуживанием и поддержкой баз данных. Их задачи включают управление, оптимизацию и обеспечение безопасности баз данных.
3. DevOps-инженеры
Эти специалисты отвечают за обслуживание рабочей инфраструктуры проекта, включая инфраструктуру баз данных.
PostgreSQL, будучи системой управления объектно-реляционными базами данных, играет ключевую роль в обеспечении целостности и безопасности большого объема важных данных.
Отметим, что в настоящее время наблюдается рост количества информационных систем критически важных объектов информационно-коммуникационной инфраструктуры нашей страны переходящих на использование PostgreSQL по причинам экономии финансовых средств, отказа от вендорной зависимости и тд.
В этой связи выявленные уязвимости критичны для своевременного устранения.
Описание уязвимостей:
CVE-2023-5869 (CVSS 8.8 из 10)
Эта уязвимость вызвана недостатком в обработке модификаций массивов в PostgreSQL. Это может позволить злоумышленнику выполнить произвольный код на сервере PostgreSQL.
CVE-2023-5868 (CVSS 4.3 из 10) Данная уязвимость вызвана ошибкой в обработке PostgreSQL определённых агрегатных функций. Это может позволить злоумышленнику прочитать конфиденциальные данные с сервера PostgreSQL.
CVE-2023-5870 (CVSS 2.2 из 10)
Эта уязвимость вызвана недостатком в способе обработки PostgreSQL роли pg_signal_backend. Она позволяет роли pg_signal_backend отправлять сигналы определенным процессам, что может нарушить работу сервера PostgreSQL.
Для организаций, использующих затронутые версии PostgreSQL, рекомендуется незамедлительно применить обновления. Это критически важная мера для обеспечения безопасности базы данных и предотвращения возможных киберугроз.
Следует признать, что обеспечение безопасности баз данных PostgreSQL является одним из ключевых аспектов для обеспечения целостности и безопасности данных. Применение рекомендуемых обновлений и соблюдение политик безопасности представляют собой критически важные шаги для поддержания безопасности вашей информационной инфраструктуры.
