Race Condition Sicherheitslücke in pg_dump in PostgreSQL

Table of Contents

Am 9. August 2024 wurde eine schwerwiegende Sicherheitslücke in PostgreSQL bekannt, die alle Versionen 12 bis 16 betrifft. Die Schwachstelle CVE-2024-7348 ist eine Time-of-Check Time-of-Use (TOCTOU) Race Condition im pg_dump-Tool, das zur Sicherung von PostgreSQL-Datenbanken verwendet wird. Angreifer können diese Lücke ausnutzen, um während des Backups beliebigen SQL-Code auszuführen, was zur Kompromittierung der gesamten Datenbank führen könnte.

Betroffene Versionen:

  • PostgreSQL 12 (vor 12.20)
  • PostgreSQL 13 (vor 13.16)
  • PostgreSQL 14 (vor 14.13)
  • PostgreSQL 15 (vor 15.8)
  • PostgreSQL 16 (vor 16.4)

Nutzer der betroffenen Versionen sollten sofort auf die neuesten Minor-Versionen aktualisieren, um diese Schwachstelle zu schließen. Der Fix beinhaltet einen neuen Parameter, der den Exploit verhindert, aber nur aktiv ist, wenn sowohl pg_dump als auch der Server auf die neueste Version aktualisiert wurden.