Уязвимость в политике аутентификации СУБД Ред База Данных

1. Описание уязвимости:

Уязвимость позволяет удаленному или локальному злоумышленнику обойти установленные правила аутентификации. Так, если пользователю политикой аутентификации предписывается предъявлять пароль, но он указывает только имя пользователя (без пароля) и сертификат (который не является доверенным, т.е. не указан в конфигурации СУБД в параметре TrustedCertificate), то такой пользователь успешно проходит аутентификацию..

2. Возможные меры по устранению уязвимости

• отказаться от использования многофакторной аутентификации или
• обновить плагин libMultifactor.so (в linux системах) multifactor.dll (в windows) в каталоге plugins

Скачать плагин можно по ссылкам:

• https://reddatabase.ru/media/files/libMultifactor.so
• https://reddatabase.ru/media/files/multifactor.dll

Контрольные суммы, полученные с использованием программного комплекса «РСП-Контроль» версии 2.0, по алгоритму ГОСТ 34.11-2012 0(512 бит):

plugins/libMultifactor.so

754220d1bf2dd1aedb5345c3b9f58a70816703f88f702df35bdc3f41d2014ef48de1cb2ef231eb8a928c4ad1e523ef89b04271feda43e5dd084c00e0e2dc7511

plugins/multifactor.dll

b832d8bd9aa0b690db44b79073eb2aeb8a8f480d4faba95b0ef0c3c17bcfe415b8462d07afb2dda26003471722d4470c9c6aad5f36012d1304763b9cdb7670fe

Далее необходимо остановить работу сервера.

Заменить файл libMultifactor.so (в linux системах) или multifactor.dll (в windows) скачанным в каталоге plugins размещения СУБД.

Запустить СУБД.

После выполнения обновления не забудьте сделать соответствующую отметку в формуляре изделия с указанием типа, даты и времени обновления, а также с указанием фамилии лица, применившего его.

Паспорт уязвимости: https://reddatabase.ru/media/files/Паспорт_уязвимости_СУБД_РБД_-_31.03.2021.odt