Sicherheitsupdates: PostgreSQL für Schadcode-Attacken anfällig

In aktuellen PostgreSQl-Versionen haben die Entwickler vier Softwareschwachstellen geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese kompromittieren. Sicherheitsupdates sind verfügbar. Für einen Versionsstrang sind das aber die letzten Patches.

Die Sicherheitslücken

Im Sicherheitsbereich der Websites des Datenbankmanagementsystems führen die Entwickler die gegen mögliche Attacken gerüsteten Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 auf. Am gefährlichsten gilt eine Lücke (CVE-2024-10979 "hoch") die die PL/Perl-Komponente betrifft. An dieser Stelle können Angreifer ohne Authentifizierung Umgebungsvariablen manipulieren, um Schadcode auszuführen.

Setzen Angreifer erfolgreich an den anderen Schwachstellen (CVE-2024-10976 "mittel", CVE-2024-10977 "niedrig", CVE-2024-10978 "mittel") an, können sich sich unter anderme als Man-in-the-Middle in Verbindungen einklinken.

Support ausgelaufen

Bislang gibt es noch keine Berichte zu laufenden Attacken. Admins sollten trotzdem zügig handeln und Instanzen absichern. Die Entwickler weisen darauf hin, dass für PostgreSQL 12 der Support ausgelaufen ist und dieser Versionsstrang nun zum letzten Mal Sicherheitsupdates bekommt. Ab jetzt auftauchende Lücken werden nicht mehr geschlossen und die Software kann Systeme gefährden. Um Computer auch weiterhin zu schützen, müssen Admins ein Upgrade auf eine noch unterstützte Ausgabe durchführen.

Zusätzlich zu den Sicherheitsupdates haben die Entwickler eigenen Angaben zufolge noch mehr als 35 Bugs beseitigt. Unter anderem haben sie die Speicherausnutzung optimiert und die Stabilität erhöht. Die Release Notes sind online einsehbar.

(des)