Beliebige SQL-Befehle lassen sich einzuschleusen und auszuführen
Eine kritische Schwachstelle wurde in einer bekannten Datenbanksoftware entdeckt, die es potenziellen Angreifern ermöglicht, SQL-Befehle einzuschleusen und auszuführen. Diese Sicherheitslücke wird von den Entwicklern als äußerst riskant eingestuft und erfordert dringend eine Aktualisierung der betroffenen Systeme.
Gemäß den Details der Schwachstellenbeschreibung wurden bestimmte Sicherheitseinschränkungen in einem Aktualisierungsschritt nicht ausreichend berücksichtigt. Dadurch kann ein Nutzer einer bestimmten Datenbankansicht unbefugt SQL-Code einschleusen, der dann mit den Berechtigungen anderer Nutzer oder sogar mit Superuser-Rechten ausgeführt wird.
Ursache der Schwachstelle
Die Ursache der Schwachstelle liegt in einer unzureichenden Verwaltung von Zugriffsrechten, insbesondere in Bezug auf die Funktion „Refresh Materialized View Concurrently“. Diese Funktion ermöglicht es dem Ersteller einer Ansicht, beliebige SQL-Funktionen mit den Berechtigungen der ausführenden Person aufzurufen. Um die Schwachstelle auszunutzen, müssten Angreifer ihre Opfer dazu verleiten, die Refresh-Funktion auf einer von ihnen erstellten Materialized View auszuführen.
CVE-2024-0985, CVSS 8.0, Risiko „hoch“
Die Entwickler haben reagiert und Aktualisierungspakete veröffentlicht, um die zugrunde liegenden Fehler zu beheben. Diese Pakete sind für verschiedene Versionen der Software verfügbar und sollten von allen betroffenen Administratoren so schnell wie möglich installiert werden, um die potenzielle Angriffsfläche zu minimieren.
Darüber hinaus wurden kürzlich inkrementelle Backup-Funktionen in die Datenbanksoftware integriert, um den Komfort und die Effizienz bei der Datensicherung zu verbessern. Version 17 der Software wird diese Funktion offiziell einführen.
Sie benötigen Hilfe? Melden Sie sich bei uns!