zurück zum Artikel

Sicherheitsupdates: Admin-Lücke im Datenbanksystem PostgreSQL Update

Sicherheitsupdate: Admin-Lücke im Datenbanksystem PostgreSQL

(Bild: Artur Szczybylo/Shutterstock.com)

Angreifer könnten Windows-Systeme mit PostgreSQL attackieren und Schadcode ausführen.

Es gibt wichtige Sicherheitsupdates für das Datenbanksystem PostgreSQL unter Windows. Stimmen die Voraussetzungen, könnten Angreifer Schadcode mit Admin-Rechten ausführen.

Aus einer Warnmeldung der Entwickler geht das von der Sicherheitslücke (CVE-2020-10733) ausgehende Angriffsrisiko nicht hervor. [1] Die Meldung liest sich so, dass eine "hohe" Einstufung naheliegt.

Angreifer mit Zugriffsrechten auf bestimmte Ordner könnten dort Schadcode hinterlegen. Diesen würde der Installer dann aufgrund einer unzureichenden Prüfung ausführen. Problematisch ist, dass der Installer mit Admin-Rechten läuft. Es ist davon auszugehen, dass ein Computer nach einer erfolgreichen Attacke vollständig kompromittiert ist.

Den PostgreSQL-Entwicklern zufolge gibt es die Schwachstelle bereits seit Versionen vor 9.5. Abgesichert sind die Ausgaben 9.5.22, 9.6.18, 10.13, 11.8 und 12.3. Neben der Sicherheitslücke haben die Entwickler in den aktuellen Versionen noch 75 Bugs aus der Welt geschafft.

[UPDATE, 18.05.2020 13:40 Uhr]

Betroffenen Versionen im Fließtext korrigiert. (des [2])


URL dieses Artikels:
https://www.heise.de/-4723141

Links in diesem Artikel:
[1] https://www.postgresql.org/about/news/2038/
[2] mailto:des@heise.de