Angreifer könnten Systeme mit dem Datenbankmanagementsystem PostgreSQL attackieren und sich höhere Nutzerrechte verschaffen. Ein Sicherheitspatch steht zum Download bereit.
Die Sicherheitslücke (CVE-2021-38140) gilt als "kritisch". In einer Warnmeldung geben die Entwickler an, die Schwachstelle im set_user-Extension-Modul 2.0.1geschlossen zu haben. Um sich höhere Rechte zu verschaffen, müssten Angreifer über den Aufruf der set_user()-Funktion einen RESET-SESSION-AUTHORIZATION-Zustand auslösen. Das soll nun blockiert sein.
Wie Angriffe ablaufen könnten, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung der Lücke sollten Admins ihre PostgreSQL-Installationen zeitnah auf den aktuellen Stand bringen. Wie das geht, kann man auf Github nachlesen.
Quelle:heise
Die Sicherheitslücke (CVE-2021-38140) gilt als "kritisch". In einer Warnmeldung geben die Entwickler an, die Schwachstelle im set_user-Extension-Modul 2.0.1geschlossen zu haben. Um sich höhere Rechte zu verschaffen, müssten Angreifer über den Aufruf der set_user()-Funktion einen RESET-SESSION-AUTHORIZATION-Zustand auslösen. Das soll nun blockiert sein.
Wie Angriffe ablaufen könnten, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung der Lücke sollten Admins ihre PostgreSQL-Installationen zeitnah auf den aktuellen Stand bringen. Wie das geht, kann man auf Github nachlesen.
Quelle:heise
