Die Entwickler haben in aktuellen PostgreSQL-Versionen vier Softwareschwachstellen geschlossen. Schadcode kann im schlimmsten Fall auf Systeme gelangen und diese kompromittieren. Sicherheitsupdates sind bereits verfügbar.

Die Entwickler führen im Sicherheitsbereich der Websites des Datenbankmanagementsystems die gegen mögliche Attacken gerüsteten Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 auf. Eine Lücke, die die PL/Perl-Komponente betrifft, gilt am gefährlichsten (CVE-2024-10979 "hoch"). Angreifer könnten an dieser Stelle ohne Authentifizierung Umgebungsvariablen manipulieren, um Schadcode auszuführen.

Setzen Angreifer erfolgreich an den anderen Schwachstellen (CVE-2024-10976 "mittel", CVE-2024-10977 "niedrig", CVE-2024-10978 "mittel") an, können sie sich unter anderem als Man-in-the-Middle in Verbindungen einklinken.

Zu laufenden Attacken gibt es bislang noch keine Berichte. Weiterhin weisen die Entwickler darauf hin, dass für PostgreSQL 12 der Support ausgelaufen ist und dieser Versionsstrang nun zum letzten Mal Sicherheitsupdates erhält.

Außerdem wurden von den Entwicklern noch noch mehr als 35 Bugs beseitigt. Sie haben unter anderem die Speicherausnutzung optimiert und die Stabilität erhöht. Weitere Details können in den Release Notes nachgelesen werden.

Betroffene sollten die Sicherheitsupdates zügig installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE