В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-01722, описывающая опасную уязвимость в популярной системе управления базами данных PostgreSQL. Уязвимость, получившая идентификатор CVE-2026-2005, связана с компонентом pgcrypto и классифицируется как переполнение буфера в динамической памяти. Эксплуатация этой уязвимости потенциально позволяет удаленному злоумышленнику, имеющему учетную запись, выполнить произвольный код на атакуемом сервере. Таким образом, под угрозу попадает конфиденциальность, целостность и доступность данных.
Детали уязвимости
Уязвимость затрагивает широкий спектр версий PostgreSQL, включая ветки до 14.21, 15.16, 16.12, 17.8 и 18.2. Кроме того, в перечень уязвимого программного обеспечения входит российский дистрибутив Postgres Pro Certified, который имеет запись в едином реестре отечественных программ. Важно отметить, что проблема подтверждена производителем, а способом ее устранения является установка официальных обновлений. На текущий момент уязвимость уже устранена в актуальных версиях ПО.
Уровень опасности оценивается как высокий. Базовая оценка по шкале CVSS 2.0 составляет 9.0 баллов, а по более современной CVSS 3.1 - 8.8 баллов. Вектор атаки предполагает удаленную эксплуатацию с низкой сложностью атаки, но требует наличия у атакующего предварительных привилегий для входа в систему. Специалисты отмечают, что уязвимость относится к классу уязвимостей кода, а ее эксплуатация возможна через манипулирование структурами данных в компоненте pgcrypto.
Компонент pgcrypto предоставляет функции криптографического хеширования и шифрования непосредственно внутри базы данных. Следовательно, эта уязвимость представляет особый интерес для злоумышленников, так как атака может быть направлена на системы, обрабатывающие чувствительную информацию. Потенциально успешная атака может привести к полному компрометированию сервера баз данных, краже информации или установке вредоносного ПО, например, шифровальщиков (ransomware).
В связи с выявленной угрозой эксперты рекомендуют администраторам незамедлительно принять меры. Основным действием должна стать установка обновлений безопасности, выпущенных разработчиками. Для PostgreSQL патчи доступны на официальном сайте, а для Postgres Pro Certified - на портале компании-разработчика. Однако в рекомендациях BDU содержится важное предупреждение. В связи с текущей геополитической обстановкой и санкциями, устанавливать обновления из внешних источников следует только после тщательной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, необходимо реализовать комплекс компенсирующих мер. Во-первых, следует ограничить удаленный доступ к СУБД с помощью межсетевых экранов и сегментации сети. Во-вторых, рекомендуется использовать системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления попыток эксплуатации данной уязвимости. Кроме того, важной мерой является минимизация привилегий пользовательских учетных записей и отключение неиспользуемых аккаунтов. Доступ к базе данных из интернета должен быть строго ограничен, а весь удаленный доступ организован через защищенные каналы, такие как виртуальные частные сети (VPN).
На данный момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Тем не менее, высокий рейтинг опасности и относительная простота эксплуатации делают ее привлекательной мишенью для киберпреступников и APT-групп. Поэтому задержка с установкой патчей или внедрением защитных мер может привести к серьезным последствиям для организаций.
Подводя итог, уязвимость CVE-2026-2005 в PostgreSQL является серьезной угрозой безопасности данных. Она затрагивает как международные, так и российские дистрибутивы этой СУБД. Администраторам и специалистам по информационной безопасности необходимо оперативно проверить используемые версии и применить корректирующие действия. Своевременное обновление остается самым эффективным способом защиты, однако его необходимо сочетать с принципам минимальных привилегий и глубокой эшелонированной обороны для надежного предотвращения инцидентов.
Ссылки
- https://bdu.fstec.ru/vul/2026-01722
- https://www.cve.org/CVERecord?id=CVE-2026-2005
- https://www.postgresql.org/support/security/CVE-2026-2005/
- https://postgrespro.ru/products/postgrespro/certified
