Am 9. August 2024 wurde eine schwerwiegende Sicherheitslücke in PostgreSQL bekannt, die alle Versionen 12 bis 16 betrifft. Die Schwachstelle CVE-2024-7348 ist eine Time-of-Check Time-of-Use (TOCTOU) Race Condition im pg_dump-Tool, das zur Sicherung von PostgreSQL-Datenbanken verwendet wird. Angreifer können diese Lücke ausnutzen, um während des Backups beliebigen SQL-Code auszuführen, was zur Kompromittierung der gesamten Datenbank führen könnte.
Betroffene Versionen:
- PostgreSQL 12 (vor 12.20)
- PostgreSQL 13 (vor 13.16)
- PostgreSQL 14 (vor 14.13)
- PostgreSQL 15 (vor 15.8)
- PostgreSQL 16 (vor 16.4)
Nutzer der betroffenen Versionen sollten sofort auf die neuesten Minor-Versionen aktualisieren, um diese Schwachstelle zu schließen. Der Fix beinhaltet einen neuen Parameter, der den Exploit verhindert, aber nur aktiv ist, wenn sowohl pg_dump als auch der Server auf die neueste Version aktualisiert wurden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: