Уязвимость в политике аутентификации СУБД Ред База Данных
1. Описание уязвимости:
Уязвимость позволяет удаленному или локальному злоумышленнику обойти установленные правила аутентификации. Так, если пользователю политикой аутентификации предписывается предъявлять пароль, но он указывает только имя пользователя (без пароля) и сертификат (который не является доверенным, т.е. не указан в конфигурации СУБД в параметре TrustedCertificate), то такой пользователь успешно проходит аутентификацию..
2. Возможные меры по устранению уязвимости
- отказаться от использования многофакторной аутентификации
или
- обновить плагин libMultifactor.so (в linux системах) multifactor.dll (в windows) в каталоге plugins
Скачать плагин можно по ссылкам:
Контрольные суммы, полученные с использованием программного комплекса «РСП-Контроль» версии 2.0, по алгоритму ГОСТ 34.11-2012 0(512 бит):
plugins/libMultifactor.so
754220d1bf2dd1aedb5345c3b9f58a70816703f88f702df35bdc3f41d2014ef48de1cb2ef231eb8a928c4ad1e523ef89b04271feda43e5dd084c00e0e2dc7511
plugins/multifactor.dll
b832d8bd9aa0b690db44b79073eb2aeb8a8f480d4faba95b0ef0c3c17bcfe415b8462d07afb2dda26003471722d4470c9c6aad5f36012d1304763b9cdb7670fe
Далее необходимо остановить работу сервера.
Заменить файл libMultifactor.so (в linux системах) или multifactor.dll (в windows) скачанным в каталоге plugins размещения СУБД.
Запустить СУБД.
После выполнения обновления не забудьте сделать соответствующую отметку в формуляре изделия с указанием типа, даты и времени обновления, а также с указанием фамилии лица, применившего его.
Паспорт уязвимости: https://reddatabase.ru/media/files/Паспорт_уязвимости_СУБД_РБД_-_31.03.2021.odt