Компания Postgres Professional сообщила о переоформлении сертификатов соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) для СУБД Postgres Pro Enterprise редакций 11.13.1 и 13.4.1.
В обновлённых версиях систем управления базами данных устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229, заключалась в повышении прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к данным. Вторая уязвимость, CVE-2021-3677, позволяла злоумышленникам сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.

Postgres Pro Enterprise построена на базе свободной объектно-реляционной СУБД PostgreSQL и разработана специально для высоконагруженных IT-систем крупных предприятий.
Сертифицированная СУБД Postgres Pro Enterprise может применяться для защиты информации в значимых объектах критической информационной инфраструктуры 1-й категории, в государственных информационных системах 1-го класса защищённости; в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищённости; в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищённости персональных данных; в информационных системах общего пользования 2-го класса.
Источник: