Race Condition Sicherheitslücke in pg_dump in PostgreSQL
Table of Contents
Am 9. August 2024 wurde eine schwerwiegende Sicherheitslücke in PostgreSQL bekannt, die alle Versionen 12 bis 16 betrifft. Die Schwachstelle CVE-2024-7348 ist eine Time-of-Check Time-of-Use (TOCTOU) Race Condition im pg_dump-Tool, das zur Sicherung von PostgreSQL-Datenbanken verwendet wird. Angreifer können diese Lücke ausnutzen, um während des Backups beliebigen SQL-Code auszuführen, was zur Kompromittierung der gesamten Datenbank führen könnte.
Betroffene Versionen:
- PostgreSQL 12 (vor 12.20)
- PostgreSQL 13 (vor 13.16)
- PostgreSQL 14 (vor 14.13)
- PostgreSQL 15 (vor 15.8)
- PostgreSQL 16 (vor 16.4)
Nutzer der betroffenen Versionen sollten sofort auf die neuesten Minor-Versionen aktualisieren, um diese Schwachstelle zu schließen. Der Fix beinhaltet einen neuen Parameter, der den Exploit verhindert, aber nur aktiv ist, wenn sowohl pg_dump als auch der Server auf die neueste Version aktualisiert wurden.