heise PlusAbo
Anzeige
Alert!

Root-Sicherheitslücke bedroht Datenbankmanagementsystem PostgreSQL

Die PostgreSQL-Entwickler haben in aktuellen Versionen eine Schwachstelle geschlossen. Angreifer können Schadcode ausführen.

vorlesen Druckansicht 27 Kommentare lesen

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 1 Min.
Security
Von
  • Dennis Schirrmacher
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Angreifer können Systeme, auf denen das Datenbankmanagementsystem PostgreSQL läuft, attackieren und im Kontext von Datenbankbackups Schadcode ausführen. Dagegen abgesicherte Versionen schaffen Abhilfe.

Wie aus einer Warnmeldung hervorgeht, können Angreifer, die Objekte erstellen können, im Zuge einer Time-of-Check-Time-of-Use-Attacke (TOCTOU) manipulierend eingreifen. Aufgrund der Schwachstelle (CVE-2024-7348 „hoch“) ist es möglich, im Kontext von pg_dump eigene SQL-Befehle auszuführen. Das Problem ist, dass pg_dump den Entwicklern zufolge in der Regel mit Root-Rechten läuft, um Datenbackups anlegen zu können. In diesem Kontext ist davon auszugehen, dass die Root-Rechte nicht das zugrundeliegende System betreffen. Deswegen gibt es offensichtlich auch keine kritische Einstufung.

Videos by heise

Die Entwickler geben an, die Sicherheitslücke in den Versionen 12.20, 13.16, 14.13, 15.8 und 16.4 geschlossen zu haben. Ob es bereits Attacken gibt, führen sie derzeit nicht aus.

Update

Kontext der Root-Rechte bei einer Attacke verständlicher eingeordnet.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten