Обновления безопасности
Назад к п.2
2.5 Устранение множественных уязвимостей СУБД "Ред База Данных" (RDB-20250730-01)
| Идентификатор бюллетеня | RDB-20250730-01 |
| Идентификатор | RS-206648 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:S/C:N/I:P/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.6) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.0) |
| Описание уязвимости | Уязвимость в функции в функции force_close модуля inet.cpp системы управления базами данных «Ред База Данных» связана с некорректной остановкой сервера при наличии активных подключений, использующих события. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | FB-8380 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:S/C:N/I:P/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.6) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.0) |
| Описание уязвимости | Уязвимость в функции CtrlCHandler:CtrlCHandler модуля why.cpp системы управления базами данных «Ред База Данных» связана с параллельным выполнением с использованием общего ресурса с неправильной синхронизацией при остановке сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-229954 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Высокий(8.2) |
| Описание уязвимости | Уязвимость в функции CCH_release модуля cch.cpp системы управления базами данных «Ред База Данных» связана с освобождением страничного кэша. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-229807 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(3.8) |
| Описание уязвимости | Уязвимость в функции JsonTableSourceNode::dsqlPass модуля RecordSourceNodes.cpp системы управления базами данных «Ред База Данных» связана с переиспользованием контекста при вызове вложенных запросов WITH ... AS с JSON-функциями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-84347 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(3.7) |
| Описание уязвимости | Уязвимость в функции ERR_bugcheck_msg модуля err.cpp системы управления базами данных «Ред База Данных» связана с возникновением критической ошибки, которая блокировала запись в журнал перед падением сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть источник атаки |
| Идентификатор | RS-208502 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:S/C:N/I:C/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(4.9) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.4) |
| Описание уязвимости | Уязвимость в модуле DdlNodes.epp системы управления базами данных «Ред База Данных» связана с функциями проверки прав доступа при GRANT/REVOKE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, произвести изменения при копировании с мастер-базы на базу-реплику |
| Идентификатор | RS-203126 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:M/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Низкий(3.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(2.7) |
| Описание уязвимости | Уязвимость в модуле burp.cpp в функции gbak системы управления базами данных «Ред База Данных» связана с вызовом утилиты gbak с ключом zip без параметров. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-201408 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:S/C:N/I:N/A:C |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(4.9) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.9) |
| Описание уязвимости | Уязвимость в функции TraceCfgReader::readConfig модуля TraceConfiguration.cpp системы управления базами данных «Ред База Данных» связана с неправильным значением параметра конфигурации трейса time_format. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Версия уязвимого ПО: |
для уязвимостей RS-206648, FB-8380: от 3.0.0 до 3.0.18 (включительно) для уязвимостей RS-229954, RS-229807, RS-84347, RS-208502, RS-203126, RS-201408: от 5.0.0 до 5.0.6 (включительно) |
| Возможные меры по устранению уязвимостей |
|
| Контрольные суммы обновления |
Программа ЦБИ-сервис ФИКС-Unix, версии 1.0-2 (сборка для Linux), алгоритм ГОСТ Р 34.11-2012 256 бит: rdb30-linux-x86_64-core-3.0.19.bin - 6C574AA315256D16 rdb50-linux-x86_64-core-5.0.7.bin - D8BFE21805A8CAF0 |
| Дата публикации бюллетеня | 30.07.2025 |
Дата последнего изменения: 30.07.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.