Synthese
Die PostgreSQL Global Development Group hat Sicherheitsupdates veröffentlicht, um eine Sicherheitslücke mit „hohem“ Schweregrad in pg_dump zu beheben, einem Befehlszeilendienstprogramm, das zum Erstellen logischer Sicherungen einer PostgreSQL-Datenbank verwendet wird.
Diese Sicherheitslücke könnte von einem böswilligen Benutzer ausgenutzt werden, um Berechtigungen zu erhöhen und beliebigen Code auf betroffenen Instanzen auszuführen.
Risiko
Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: HOCH/ORANGE (65,12/100)1.
Typologie
- Privilege Escalation
- Remote Code Execution
Betroffene Produkte und Versionen
PostgreSQL,
- 16.x, versioni precedenti alla 16.4
- 15.x, versioni precedenti alla 15.8
- 14.x, versioni precedenti alla 14.13
- 13.x, versioni precedenti alla 13.16
- 12.x, versioni precedenti alla 12.20
Schadensbegrenzungsmaßnahmen
In Übereinstimmung mit den Aussagen des Anbieters wird empfohlen, die verfügbaren Abhilfemaßnahmen gemäß den im Sicherheitsbulletin im Abschnitt „Referenzen“ gemeldeten Hinweisen anzuwenden.
Es ist zu beachten, dass der Anbieter für alle Versionen von PostgreSQL 12.x ab dem 14. November 2024 angesichts des End-of-Support-Datums (EOL) keine weiteren Workarounds und/oder Patches mehr veröffentlichen wird.
Eindeutige Schwachstellenkennungen
Referenzen
https://www.postgresql.org/about/news/postgresql-164-158-1413-1316-1220-and-17-beta-3-released-2910
1Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.
