Eine schwerwiegende Sicherheitslücke wurde in der beliebten PostgreSQL-Datenbankbibliothek Npgsql für .Net Anwendungen identifiziert, die eine hohe Anfälligkeit für SQL-Injection-Angriffe aufgrund eines Überlaufs der Protokollnachrichtengröße aufweist. Die Schwachstelle wird unter CVE-2024-32655 geführt und weist einen CVSS Score von 8.1 / 10 auf.
Die betroffene Methode WriteBind()
in der Datei src/Npgsql/Internal/NpgsqlConnector.FrontendMessages.cs
verwendet Integer-Variablen zur Speicherung der Nachrichtenlänge und der Summe der Parameterlängen. Bei zu großen Parametermengen kommt es zu einem Überlauf dieser Variablen.
Dies führt dazu, dass Npgsql eine zu kleine Nachrichtengröße schreibt, wenn eine PostgreSQL-Protokollnachricht zum Senden über das Netzwerk an die Datenbank konstruiert wird. Beim Parsen der Nachricht liest die Datenbank nur eine geringe Anzahl von Bytes und behandelt alle folgenden Bytes als neue Nachrichten, obwohl sie zur alten Nachricht gehören.
Angreifer können diese Schwachstelle ausnutzen, um willkürliche PostgreSQL-Protokollnachrichten in die Verbindung einzuschleusen, was zur Ausführung beliebiger SQL-Befehle im Namen der Anwendung führt. Der endgültige Einfluss hängt von der verwendeten Anwendung, den gespeicherten Daten in PostgreSQL und anderen Faktoren ab.
Betroffen sind die Versionen von Npgsql wie folgt:
- >= 8.0.0, < 8.0.3
- <= 4.0.13
- >= 4.1.0, < 4.1.13
- >= 5.0.0, < 5.0.18
- >= 6.0.0, < 6.0.11
- >= 7.0.0, < 7.0.7
Die gepatchten Versionen, die dieses Problem beheben, sind:
- 8.0.3
- 4.0.14
- 4.1.13
- 5.0.18
- 6.0.11
- 7.0.7
Entwickler und IT-Sicherheitsexperten werden dringend aufgefordert, ihre Npgsql-Installationen zu überprüfen und auf die neuesten gepatchten Versionen zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Zusätzlich sollten Anwendungen, die Npgsql nutzen, auf ungewöhnliche Datenbankaktivitäten hin überwacht werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: