Sicherheitslücke: Attacken auf PostgreSQL-Clients möglich
Ein Patch schließt eine Schadcode-Lücke, die unter bestimmten Voraussetzungen für Clients mit Zugriff auf Postgre-SQL-Datenbanken gefährlich werden kann.
(Bild: AFANASEV IVAN/Shutterstock.com)
Datenbank-Admins sollten ihre PostgreSQL-Instanzen auf den aktuellen Stand bringen. Die geschlossene Sicherheitslücke betrifft aber nicht PostgreSQL-Server, sondern Clients, die auf Datenbanken zugreifen. Attacken sind nicht ohne Weiteres möglich.
SQL Injection
Wie aus einem Bericht hervorgeht, sind Sicherheitsforscher im Kontext einer Sicherheitslücke (CVE-2024-12356 "kritisch") in den Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust auf eine weitere Schwachstelle (CVE-2025-1094 "hoch") gestoßen.
Die schon länger verfügbaren Sicherheitsupdates für PRA und RS blocken das Ausnutzen beider Lücken. Doch die Forscher geben an, dass die zweite Lücke ebenfalls PostgreSQL bedroht. Das haben mittlerweile auch die PostgreSQL-Entwickler in einer Warnmeldung bestätigt.
Die Schwachstelle findet sich in mehreren libpq-Funktionen. Dabei werden Eingaben nicht ausreichend bereinigt, sodass Angreifer eigene SQL-Befehle ausführen können. Das gilt jedoch nicht für PostgreSQL-Server, sondern nur für Anwendungen auf Clients, die auf Datenbanken zugreifen. Attacken sind zudem nur möglich, wenn das Kommandozeilentool psql verwendet wird und Eingaben mit libpq erzeugt werden, was in der Regel nicht der gängige Weg ist.
Videos by heise
Die Entwickler versichern, die Lücke in den Ausgaben 13.19, 14.16, 15.11, 16.7 und 17.3 geschlossen zu haben. Alle vorigen Versionen sind verwundbar. Bislang gibt es keine Meldungen zu bereits erfolgten Attacken.
Mithilfe von Leserhinweisen die Beschreibung des Angriffsszenarios und Risikos in der Überschrift, im Anrisstext und im Meldungstext entschärft und umformuliert.
(des)
