CVE-2024-10979: kritische RCE Schwachstelle in PostgreSQL
Die schwerwiegende Sicherheitslücke CVE-2024-10979 wurde am 14.11.2024 von PostgreSQL bekanntgegeben. Die Lücke erlaubt es einem unprivilegierten Datenbankbenutzer, sensible Umgebungsvariablen (z.B. PATH) zu ändern. Dies kann zur Ausführung beliebigen Codes führen, selbst wenn der Angreifer keine Betriebssystembenutzerrechte auf dem Datenbankserver hat. Die Sicherheitslücke betrifft die Kontrolle von Umgebungsvariablen im PL/Perl-Modul von PostgreSQL, das nicht korrekt gesichert ist. Das Problem kann durch Änderungen an Umgebungsvariablen wie PATH ausgenutzt werden, was es Angreifern ermöglicht, schadhafte Programme auszuführen.
PostgreSQL-Nutzer sollten auf die neuesten Versionen 17.1, 16.5, 15.9, 14.14, 13.17, und 12.21 aktualisieren, die das Problem beheben.