ФСТЭК РФ сертифицировал обновление двух версий СУБД Postgres Pro Enterprise

На это ушло около двух месяцев, из них 1,5 месяца заняли внутренние испытания и тесты, еще две недели понадобилось испытательной лаборатории на проверку и подготовку технического заключения. В итоге, процедура сертификации завершилась переоформлением сертификата ФСТЭК №4063.

В обновленных версиях устранены две уязвимости среднего уровня критичности. Первая, CVE-2021-20229,  заключалась в повышении  прав доступа пользователя к отдельным колонкам таблиц. Пользователь, имеющий доступ хотя бы к одной колонке, специальным образом мог сформировать SQL-запрос, чтобы обойти ограничения доступа к колонкам. Из-за второй уязвимости, CVE-2021-3677, злоумышленники могли сформировать специально подготовленные запросы и прочитать произвольные участки памяти сервера.

«До сих пор мы обновляли сертификат только для самой последней мажорной версии, у нас это 13-я, однако в этот раз мы обновили еще и 11-ю, - прокомментировал Иван Панченко, заместитель генерального директора компании Postgres Professional. - Такое решение было принято с учетом того, что эту версию использует довольно много российских компаний». Иван Панченко также добавил, что ранее сертифицированную версию Postgres Pro Enterprise обновляли раз в год, но теперь планируется делать это чаще, чтобы постоянно повышать качество работы СУБД.