Kritische Rechte-Lücke in PostgreSQL-Modul geschlossen
Es gibt ein wichtiges Sicherheitsupdate für das set_user-Extension-Modul der Open-Source-Datenbank PostgreSQL.
(Bild: Alfa Photo/Shutterstock.com)
Wenn das set_user-Extension-Modul aktiv ist, könnten Angreifer Systeme mit dem Datenbankmanagementsystem PostgreSQL attackieren und sich höhere Nutzerrechte verschaffen. Ein Sicherheitspatch steht zum Download bereit.
Die Sicherheitslücke (CVE-2021-38140) gilt als "kritisch". In einer Warnmeldung geben die Entwickler an, die Schwachstelle im set_user-Extension-Modul 2.0.1 geschlossen zu haben. Um sich höhere Rechte zu verschaffen, müssten Angreifer über den Aufruf der set_user()-Funktion einen RESET-SESSION-AUTHORIZATION-Zustand auslösen. Das soll nun blockiert sein.
Wie Angriffe ablaufen könnten, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung der Lücke sollten Admins, die das Modul nutzen, ihre Installation zeitnah auf den aktuellen Stand bringen. Wie das geht, kann man auf Github nachlesen.
[UPDATE 31.08.2021 11:30 Uhr]
Text angepasst: Von der Lücke ist PostgreSQL nicht direkt betroffen, sondern ein standardmäßig nicht aktives Modul.
(des)
