Diese Lücke erlaubt bei öffentlich erreichbarem PostgreSQL unter Umständen eine Remote Code Execution durch die Nutzung von Extensions, die CREATE OR REPLACE oder CREATE IF NOT EXISTS Statements nutzen, die nicht auf Extension Member gehen.
PostgreSQL hat bereits neue Versionen veröffentlicht, die den Fehler beheben. Details zum Exploit und zu den bereitgestellten Fixes sind nachzulesen unter
https://www.postgresql.org/support/security/CVE-2022-2625.
Für die betroffenen Versionen 10,11,12,13 und 14 wurden Fixes bereitgestellt.
Das BSI hat ebenfalls über den Warn- und Informationsdienst die Sicherheitslücke für PostgreSQL gemeldet und sie mit der Einstufung "hoch" bewertet:
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1013.
Zur Ausnutzung der Lücke muss die Datenbank erreichbar sein. Hier kann schon ein Sicherstellen der ausschließlichen internen Erreichbarkeit einen Workaround darstellen.
Wie werden entdeckte Sicherheitslücken veröffentlicht und bewertet?
Die publizierten Lücken werden in der Liste der CVE (Common Vulnerabilities and Exposures) numeriert (www.cve.org).
Die Aufgabe des CVE-Programms besteht darin, öffentlich bekanntgegebene Cybersicherheitsschwachstellen zu identifizieren, zu definieren und zu katalogisieren. Für jede Schwachstelle im Katalog gibt es einen CVE-Eintrag. Die Schwachstellen werden von Organisationen aus der ganzen Welt, die eine Partnerschaft mit dem CVE-Programm eingegangen sind, entdeckt, zugewiesen und veröffentlicht. Partner veröffentlichen CVE-Datensätze, um konsistente Beschreibungen von Schwachstellen zu kommunizieren. Informationstechnologie- und Cybersicherheitsexperten verwenden CVE-Aufzeichnungen, um sicherzustellen, dass sie dasselbe Problem diskutieren, und um ihre Bemühungen zur Priorisierung und Behebung der Schwachstellen zu koordinieren.
Die Bewertung der Relevanz einer Sicherheitslücke erfolgt über das Common Vulnerability Scoring System (CVSS): first.org/cvss.
Dieses wurde vom Forum of Incident Response and Security (FIRST) entwickelt: first.org.
FIRST ist die weltweit anerkannte und führende Autorität auf dem Gebiert der "Incident Response". FIRST bringt eine Vielzahl von Teams zur Reaktion auf Computersicherheitsvorfälle aus Regierungs-, Handels- und Bildungsorganisationen zusammen. FIRST zielt darauf ab, die Zusammenarbeit und Koordination bei der Prävention von Vorfällen zu fördern, eine schnelle Reaktion auf Vorfälle anzuregen und den Informationsaustausch zwischen den Mitgliedern und der Gemeinschaft insgesamt zu fördern.
Bild von Elchinator auf Pixabay
