Datenbank-Admins sollten ihre PostgreSQL-Instanzen zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Server attackieren und eigene Befehle ausführen.
Anzeige
Wie aus einem Bericht hervorgeht, sind Sicherheitsforscher im Kontext einer Sicherheitslücke (CVE-2024-12356 "kritisch") in den Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust auf eine weitere Schwachstelle (CVE-2025-1094 "hoch") gestoßen.
Die schon länger verfügbaren Sicherheitsupdates für PRA und RS blocken das Ausnutzen beider Lücken. Doch die Forscher geben an, dass die zweite Lücke ebenfalls PostgreSQL bedroht. Das haben mittlerweile auch die PostgreSQL-Entwickler in einer Warnmeldung bestätigt.
Die Schwachstelle findet sich in mehreren libpq-Funktionen. Dabei werden Eingaben nicht ausreichend bereinigt, sodass Angreifer eigene SQL-Befehle ausführen können. Aufgrund der Einstufung des Bedrohungsgrads ist davon auszugehen, dass Angreifer darüber Systeme kompromittieren können.
Die Entwickler versichern, die Lücke in den Ausgaben 13.19, 14.16, 15.11, 16.7 und 17.3 geschlossen zu haben. Alle vorigen Versionen sind verwundbar. Bislang gibt es keine Meldungen zu bereits erfolgten Attacken.