Обновление дистрибутива СУБД "Ред База Данных" с устранением множественных уязвимостей (RDB-20221305-01)
1. Описание уязвимости
Уязвимость СУБД Ред База Данных, связана с защитой пароля пользователя и вызывающая ошибку чтения пароля из файла в утилите gfix, когда ключ -f указывается не последним в числе передаваемых утилите аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызывать ошибку чтения файла пароля и заставить текущего пользователя указать пароль в открытом виде в строке соединения с БД.
Уязвимость СУБД Ред База Данных, связана с некорректной записью событий безопасности, когда при неудачной попытке создания или открытия лога для записи регистрируемых событий в журнал могли попасть случайные данные. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, затруднить анализ проблем при записи событий аудита.
Уязвимость СУБД Ред База Данных, связана с неверной реализацией алгоритма аутентификации, когда в ряде случаев при использовании нескольких факторов аутентификации, если проверка одного из факторов завершается неудачно, возможно падение сервера из-за пустого имени пользователя в факторе сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать ошибку аутентификации и как следствие падение сервера.
Уязвимость СУБД Ред База Данных, связана с недостаточным ведением журнала аудита, когда во время ротации лог-файла трейса, если он открыт сторонним процессом, функция переименования этого файла получала ошибку и пыталась повторить переименования до успешного результата, при этом записи о новых событиях в трейс не попадали до момента успешного переименования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть некоторые события из журнала аудита.
2. Возможные меры по устранению уязвимости
Обновить используемую версию СУБД