Обновления безопасности
Назад к п.2
2.3 Устранение множественных уязвимостей СУБД "Ред База Данных" (RDB-20251024-01)
| Идентификатор бюллетеня | RDB-20251024-01 |
| Идентификатор | RS-218501 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:M/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Низкий(3.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(3.1) |
| Описание уязвимости | Уязвимость в модулях работы с пользователями (SrpManagement.cpp, LegacyManagement.epp, GostPasswordManagement.cpp) системы управления базами данных «Ред База Данных» связана с ситуацией создания пользователя с одним именем в разных менеджерах пользователей в одной транзакции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-210560 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции Config::checkParameterValue модуля config.cpp системы управления базами данных «Ред База Данных» связана с выводом значений параметров конфигурации при её валидации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к потенциально конфиденциальной информации |
| Идентификатор | FB-8429 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции Manager::getConnection модуля ExtDS.cpp системы управления базами данных «Ред База Данных» связана с попыткой использования уже удалённого интерфейса обратного вызова. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-219043 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции AggTraceMemoryFile::updateVersion модуля AggTraceSharedMemory.cpp системы управления базами данных «Ред База Данных» связана с пересозданием файла разделяемой памяти при очистке кэша. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | FB-8449 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции ConfiguredPlugin::release модуля PluginManager.cpp системы управления базами данных «Ред База Данных» связана с принудительной остановкой сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | RS-187503 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:M/Au:S/C:P/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Низкий(3.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость в функции parseFileName модуля SysFunction.cpp системы управления базами данных «Ред База Данных» связана с выходом из каталога с файловыми блобами, заданного в конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, несанкционированное чтение файлов сервера функцией READ_FILE |
| Идентификатор | FB-8462 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:P/I:N/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость в функции GrantRevokeNode::grantRevoke модуля DdlNodes.epp системы управления базами данных «Ред База Данных» связана с привилегией "GRANT_REVOKE_ON_ANY_OBJECT" не позволяющей отзывать разрешения, выданные другим пользователем . Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к потенциально конфиденциальной информации |
| Идентификатор | RS-218500 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:M/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Низкий(3.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Низкий(2.7) |
| Описание уязвимости | Уязвимость в модулях SrpManagement.cpp, LegacyManagement.epp, GostPasswordManagement.cpp системы управления базами данных «Ред База Данных» связана с тем, что при удалении пользователя с ролью администратора роль отзывалась даже если он существовал в других плагинах . Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в выполнении некоторых функций |
| Идентификатор | RS-234295 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость в функции main модуля mint.cpp системы управления базами данных «Ред База Данных» связана с некорректной работой с сертификатом при проверке целостности метаданных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подменить хранимые данные |
| Идентификатор | RS-220168 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.5) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
| Описание уязвимости | Уязвимость в функции DPM_get модуля dpm.epp системы управления базами данных «Ред База Данных» связана с потерей подтвержденной записи после падения сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать повреждение данных |
| Идентификатор | FB-8649 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:S/C:N/I:N/A:P |
| Уровень опасности уязвимости (CVSS 2.0) | |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
| Описание уязвимости | Уязвимость в функции Manager::getConnection модуля ExtDS.cpp системы управления базами данных «Ред База Данных» связана с использованием в триггере на подключение конструкции "EXECUTE STATEMENT ON EXTERNAL". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании сервера |
| Идентификатор | FB-8653 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции TracePluginImpl::logRecordTrig модуля TracePluginImpl.cpp системы управления базами данных «Ред База Данных» связана с тем, что в журнал аудита не записывалось событие отката транзакции (TRANSACTION_ROLLBACK) в триггерах уровня базы данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть свои действия в системе |
| Идентификатор | RS-248436 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
| Описание уязвимости | Уязвимость в функции ServerTraceManager::initServerTrace модуля ServerTraceManager.cpp системы управления базами данных «Ред База Данных» связана с тем, что не обрабатывалась конфигурация системного аудита при инициализации менеджера трейса, что приводило к отсутствию событий ATTACH_SERVICE в логе системного аудита. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть свои действия в системе |
| Версия уязвимого ПО | от 5.0.0 до 5.1.0 (включительно) |
| Возможные меры по устранению уязвимости |
|
| Контрольные суммы обновления | Программа ЦБИ-сервис ФИКС-Unix, версии 1.0-2 (сборка для Linux), алгоритм ГОСТ Р 34.11-2012 256 бит: rdb50-linux-x86_64-core-5.1.1.bin - 06AA8B659D729087 |
| Дата публикации бюллетеня | 24.10.2025 |
Дата последнего изменения: 17.11.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.