Eine schwerwiegende Sicherheitslücke wurde im PostgreSQL JDBC-Treiber (pgjdbc) identifiziert, die eine SQL-Injection ermöglicht. Die Schwachstelle, bekannt unter der CVE-ID CVE-2024-1597, betrifft mehrere Versionen des Treibers und wurde als kritisch mit einem CVSS-Score von 10.0 / 10.0 eingestuft.
Die Sicherheitslücke tritt auf, wenn die Verbindungseigenschaft preferQueryMode=simple
verwendet wird, die nicht die Standardeinstellung ist. In Verbindung mit einer anfälligen SQL-Anweisung, die einen Parameterwert negiert, ermöglicht dies die SQL-Injection. Die Standardabfrageart des Treibers, der erweiterte Modus, ist von dieser Schwachstelle nicht betroffen.
Um die Schwachstelle auszunutzen, müssen zwei Platzhalter im SQL-Statement direkt aufeinanderfolgen: der erste für einen numerischen Wert, gefolgt von einem Minuszeichen, und der zweite für einen Zeichenfolgewert. Beide Parameter müssen vom Benutzer kontrollierbar sein. Infolge eines Fehlers im Treiber wird der negative Wert des ersten Parameters als Kommentar interpretiert, wodurch der nachfolgende String unbemerkt in das SQL-Statement eingeschleust werden kann.
Ein Beispiel für die Ausnutzung der Schwachstelle im einfachen Abfragemodus:
PreparedStatement stmt = conn.prepareStatement("SELECT -?, ?");
stmt.setInt(1, -1);
stmt.setString(2, "\nWHERE false --");
ResultSet rs = stmt.executeQuery();
Das resultierende SQL würde zu einer injizierten WHERE
-Klausel führen:
SELECT --1,'
WHERE false --'
Die gepatchten Versionen des Treibers, die dieses Problem beheben, umfassen die Versionen 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 und 42.2.28, einschließlich einer speziellen Version für Java 7. Die Aktualisierung zwingt alle Parameter, als eingekapselte Literale serialisiert zu werden, wodurch das Risiko einer SQL-Injection eliminiert wird.
Benutzern, die den einfachen Abfragemodus nutzen, wird dringend empfohlen, auf die gepatchten Versionen zu aktualisieren oder auf den erweiterten Standardabfragemodus umzustellen, um sich vor dieser kritischen Sicherheitslücke zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: