Systeme, auf denen das Datenbankmanagementsystem PostgreSQL läuft, können Angreifer ausnutzen und im schlimmsten Fall kompromittieren. Die Entwickler haben abgesicherte Versionen veröffentlicht.

Angreifer, die Objekte erstellen können, können laut einer Warnmeldung im Zuge einer Time-of-Check-Time-of-Use-Attacke (TOCTOU) manipulierend eingreifen. Im Kontext von pg_dump können sie aufgrund der Schwachstelle (CVE-2024-7348 „hoch“) eigene SQL-Befehle ausführen. Angreifer können ihren Schadcode mit weitreichenden Rechten ausführen, da pg_dump in der Regel mit Root-Rechten läuft.

Die Sicherheitslücke soll laut den Entwickler in den Versionen 12.20, 13.16, 14.13, 15.8 und 16.4 geschlossen worden sein. Derzeit ist nicht bekannt, ob bereits Angriffe existieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE