Устранения уязвимостей СУБД Tantor Postgres

Номер уязвимости;Описание;Дата обнаружения в комьюнити-версии PostgreSQL;Дата исправления в комьюнити-версии PostgreSQL;Комьюнити-версии PostgreSQL;Устранено в версиях Tantor Postgres

CVE-2025-1094;Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код;2025-02-06;2025-02-13;16.7+ / 15.11+;16.8.1 Certified 15.10.3 Certified CVE-2024-10979;Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL связана с ошибками в настройках системы или конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём изменения переменных среды (например, PATH);2024-11-07;2024-11-14;16.5+ / 15.9+;16.8.1 Certified 15.10.1 Certified CVE-2024-10978;Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ к защищаемой информации;2024-11-07;2024-11-14;16.5+ / 15.9+;16.8.1 Certified 15.10.1 Certified CVE-2024-10977;Уязвимость компонента libpq системы управления базами данных PostgreSQL связана с использованием ненадежного источника данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности и выполнить атаку типа «человек посередине»;2024-11-07;2024-11-14;16.5+ / 15.9+;16.8.1 Certified 15.10.1 Certified CVE-2024-10976;Уязвимость политики безопасности таблиц с защитой строк CREATE POLICY системы управления базами данных PostgreSQL связана с отсутствием согласованности между независимыми представлениями общего состояния. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем повторного использования запроса в нескольких SET ROLE;2024-11-07;2024-11-14;16.5+ / 15.9+;16.8.1 Certified 15.10.1 Certified CVE-2024-7348;Уязвимость системы управления базами данных PostgreSQL связана с выполнением несанкционированного кода во время pg_dump;2024-07-31;2024-08-08;16.4+15.8+;16.8.1 Certified 15.10.1 Certified CVE-2024-4317;Уязвимость системных представлений pg_stats_ext, pg_stats_ext_exprs СУБД PostgreSQL связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии;2024-04-29;2024-05-09;16.3+ / 15.7+;16.8.1 Certified 15.10.1 Certified CVE-2024-0985;Уязвимость функции REFRESH MATERIALIZED VIEW CONCURRENTLY системы управления базами данных PostgreSQL связана с ошибками управления привилегиями при обработке и проверке параметров командной строки. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-команды;2024-01-27;2024-02-08;16.2+ / 15.6+;16.8.1 Certified 15.6.1 Certified CVE-2023-5870;Уязвимость системы управления базами данных PostgreSQL связана с возможностью рассылки сигналов процессам суперпользователей с помощью роли pg_signal_backend. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании определенного фонового процесса;2023-10-31;2023-11-09;16.1+ / 15.5+;16.8.1 Certified 15.6.1 Certified CVE-2023-5869;Уязвимость функций array_append, array_prepend, array_subscript_handler системы управления базами данных PostgreSQL связана с целочисленным переполнением при модификации массивов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код;2023-10-31;2023-11-09;16.1+ / 15.5+;16.8.1 Certified 15.6.1 Certified CVE-2023-5868;Уязвимость системы управления базами данных PostgreSQL связана с отсутствием защиты служебных данных в вызовах функций с агрегацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию, когда в качестве аргумента передаётся тип unknown;2023-10-31;2023-11-09;16.1+ / 15.5+;16.8.1 Certified 15.6.1 Certified CVE-2023-39418;Уязвимость системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю читать и обновлять защищенные данные;2023-08-01;2023-08-10;15.4+;15.6.1 Certified CVE-2023-39417;Уязвимость системы управления базами данных PostgreSQL связана возможностью SQL-инъекций в расширениях, которые используют конструкции цитирования (@extowner@, @extschema@ или @extschema:...@) внутри скобок (dollar quoting, '', или ""). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-запрос к базе данных;2023-08-01;2023-08-10;15.4+;15.6.1 Certified CVE-2023-2455;Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности;2023-05-01;2023-05-11;15.3+;15.6.1 Certified CVE-2023-2454;Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и выполнить произвольный код с помощью команды CREATE SCHEMA;2023-05-01;2023-05-11;15.3+;15.6.1 Certified CVE-2022-41862;Уязвимость системы управления базами данных PostgreSQL связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки не прошедшей проверку строки во время установления сеанса Kerberos;2022-09-30;2023-02-09;15.2+;15.6.1 Certified