Компания Postgres Professional обновила сертифицированную Postgres Pro Enterprise, являющуюся промышленной СУБД для защиты критически значимых данных, сразу в двух версиях — 11.13.1 и 13.4.1.
В обновленных версиях устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229, заключалась в повышении прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к колонкам. Из-за второй уязвимости, CVE-2021-3677, злоумышленники могли сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.
«До сих пор мы обновляли сертификат только для самой последней мажорной версии, у нас это 13-я, однако в этот раз мы обновили еще и 11-ю, — прокомментировал Иван Панченко, заместитель генерального директора компании Postgres Professional. — Такое решение было принято с учетом того, что эту версию использует довольно много российских компаний».
Иван Панченко также добавил, что ранее сертифицированную версию Postgres Pro Enterprise обновляли раз в год, но теперь планируется делать это чаще, чтобы постоянно повышать качество работы СУБД.
Сертифицированная СУБД Postgres Pro Enterprise может применяться для защиты информации
в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищенности; в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищенности; в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищенности персональных данных; в информационных системах общего пользования II класса.
В Государственном реестре сертифицированных средств защиты информации ФСТЭК России СУБД Postgres Pro Enterprise имеет сертификат № 4063.
