Dasjenige Bundesamt z. Hd. Sicherheit in dieser Informationstechnik (BSI) hat am 10.11.2023 vereinigen Sicherheitshinweis z. Hd. PostgreSQL veröffentlicht. Es sind mehrere Schwachstellen bezugnehmend dieser Benutzung dieser Software entdeckt worden, die von Angreifern ausgenutzt werden können. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie dasjenige Produkt Open Source PostgreSQL.

Die neuesten Hersteller-Empfehlungen bezugnehmend Updates, Workarounds und Sicherheitspatches z. Hd. ebendiese Sicherheitslücke finden Sie hier: PostgreSQL News (Stand: 09.11.2023). Weitere nützliche Quellen werden weiter unten in diesem Handelsgut aufgeführt.

Mehrere Schwachstellen z. Hd. PostgreSQL gemeldet – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Cousine Score: 8,8
CVSS Zeitlich Score: 7,7
Remoteangriff: Ja

Zur Priorisierung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Grund verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Cousine Score bewertet die Voraussetzungen z. Hd. vereinigen Überfall (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von dieser Gefahrenlage. Jener Schweregrad dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 8,8 denn „hoch“ eingestuft.

PostgreSQL Programmierfehler: Auswirkungen eines IT-Angriffs

PostgreSQL ist eine zwanglos verfügbare Datensammlung z. Hd. unterschiedliche Betriebssysteme.

Ein entfernter, authentifizierter Angreifer kann mehrere Schwachstellen in PostgreSQL ausnutzen, um Informationen offenzulegen, beliebigen Programmcode auszuführen oder vereinigen Denial-of-Tafelgeschirr-Zustand zu verursachen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-5870, CVE-2023-5869 und CVE-2023-5868.

Von dieser PostgreSQL-Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Linux, Windows

Produkte
Open Source PostgreSQL < 16.1 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL < 15.5 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL < 14.10 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL < 13.13 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL < 12.17 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL < 11.22 (cpe:/a:postgresql:postgresql)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benutzer dieser betroffenen Anwendungen sollten ebendiese hinaus dem aktuellsten Stand halten. Hersteller sind für Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Entwicklungsprozess eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie ebendiese zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Ausschnitt aufgeführten Quellen. Vielmals enthalten ebendiese weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich für weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt dieser von dieser IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen oberhalb Programmierfehler-Reports, Security-Fixes und Workarounds.

PostgreSQL News vom 2023-11-09 (10.11.2023)
Weitere Informationen finden Sie unter: https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/

PostgreSQL Security Advisory vom 2023-11-09 (10.11.2023)
Weitere Informationen finden Sie unter: https://www.postgresql.org/support/security/CVE-2023-5868/

PostgreSQL Security Advisory vom 2023-11-09 (10.11.2023)
Weitere Informationen finden Sie unter: https://www.postgresql.org/support/security/CVE-2023-5869/

PostgreSQL Security Advisory vom 2023-11-09 (10.11.2023)
Weitere Informationen finden Sie unter: https://www.postgresql.org/support/security/CVE-2023-5870/

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises z. Hd. PostgreSQL. Im Zusammenhang Publikation von Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie mit dieser folgenden Versionshistorie reproduzieren.

10.11.2023 – Initiale Halterung

+++ Redaktioneller Zeiger: Dieser Text wurde hinaus Grund aktueller BSI-Fakten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon für Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.

Bearbeitet durch kns
roj/news.de