Root-Sicherheitslücke bedroht Datenbankmanagementsystem PostgreSQL
Die PostgreSQL-Entwickler haben in aktuellen Versionen eine Schwachstelle geschlossen. Angreifer können Schadcode ausführen.
(Bild: Tatiana Popova/Shutterstock.com)
Angreifer können Systeme, auf denen das Datenbankmanagementsystem PostgreSQL läuft, attackieren und im Kontext von Datenbankbackups Schadcode ausführen. Dagegen abgesicherte Versionen schaffen Abhilfe.
Root-Lücke
Wie aus einer Warnmeldung hervorgeht, können Angreifer, die Objekte erstellen können, im Zuge einer Time-of-Check-Time-of-Use-Attacke (TOCTOU) manipulierend eingreifen. Aufgrund der Schwachstelle (CVE-2024-7348 „hoch“) ist es möglich, im Kontext von pg_dump eigene SQL-Befehle auszuführen. Das Problem ist, dass pg_dump den Entwicklern zufolge in der Regel mit Root-Rechten läuft, um Datenbackups anlegen zu können. In diesem Kontext ist davon auszugehen, dass die Root-Rechte nicht das zugrundeliegende System betreffen. Deswegen gibt es offensichtlich auch keine kritische Einstufung.
Die Entwickler geben an, die Sicherheitslücke in den Versionen 12.20, 13.16, 14.13, 15.8 und 16.4 geschlossen zu haben. Ob es bereits Attacken gibt, führen sie derzeit nicht aus.
Kontext der Root-Rechte bei einer Attacke verständlicher eingeordnet.
(des)
