Компания Postgres Professional обновила сертифицированную Postgres Pro Enterprise, являющуюся промышленной СУБД для защиты критически значимых данных, сразу в двух версиях — 11.13.1 и 13.4.1.
На это ушло около двух месяцев, из них 1,5 месяца заняли внутренние испытания и тесты, еще две недели понадобилось испытательной лаборатории на проверку и подготовку технического заключения. В итоге, процедура сертификации завершилась переоформлением сертификата ФСТЭК №4063.
В обновленных версиях устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229, заключалась в повышении прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к колонкам. Из-за второй уязвимости, CVE-2021-3677, злоумышленники могли сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.
«До сих пор мы обновляли сертификат только для самой последней мажорной версии, у нас это 13-я, однако в этот раз мы обновили еще и 11-ю, — прокомментировал Иван Панченко, заместитель генерального директора компании Postgres Professional. — Такое решение было принято с учетом того, что эту версию использует довольно много российских компаний». Иван Панченко также добавил, что ранее сертифицированную версию Postgres Pro Enterprise обновляли раз в год, но теперь планируется делать это чаще, чтобы постоянно повышать качество работы СУБД.
