Dasjenige Bundesamt zu Händen Sicherheit in welcher Informationstechnik (BSI) hat am 08.08.2024 kombinieren Sicherheitshinweis zu Händen PostgreSQL veröffentlicht. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme Linux und Windows sowie die Produkte Debian Linux und Open Source PostgreSQL.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches zu Händen sie Sicherheitslücke finden Sie hier: Debian Security Advisory DSA-5746 (Stand: 09.08.2024). Weitere nützliche Quellen werden weiter unten in diesem Begleiter aufgeführt.

Sicherheitshinweis zu Händen PostgreSQL – Risiko: hoch

Risikostufe: 5 (hoch)
CVSS Kusine Score: 8,8
CVSS Zeitlich Score: 7,7
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Stützpunkt verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Geleitwort von Gegenmaßnahmen zu erstellen. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zu Händen kombinieren Übergriff (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von welcher Gefahrenlage. Die Gefährdung welcher hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 8,8 denn „hoch“ eingestuft.

PostgreSQL Programmfehler: Schwachstelle ermöglicht Privilegieneskalation

PostgreSQL ist eine zwanglos verfügbare Datensammlung zu Händen unterschiedliche Betriebssysteme.

Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in PostgreSQL ausnutzen, um seine Privilegien zu steigern.

Die Verwundbarkeit wird mit welcher individuellen CVE-Seriennummer (Common Vulnerabilities and Exposures) CVE-2024-7348 gehandelt.

Von welcher PostgreSQL-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Open Source PostgreSQL <16.4 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL <15.8 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL <14.13 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL <13.16 (cpe:/a:postgresql:postgresql)
Open Source PostgreSQL <12.20 (cpe:/a:postgresql:postgresql)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Nutzer welcher betroffenen Anwendungen sollten sie aufwärts dem aktuellsten Stand halten. Hersteller sind unter Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Phase aufgeführten Quellen. Vielmals enthalten sie weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich unter weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt welcher von welcher IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen via Programmfehler-Reports, Security-Fixes und Workarounds.

Debian Security Advisory DSA-5746 vom 2024-08-09 (08.08.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2024/msg00158.html

Debian Security Advisory DSA-5745 vom 2024-08-09 (08.08.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2024/msg00157.html

PostgreSQL Release Notes vom 2024-08-08 (08.08.2024)
Weitere Informationen finden Sie unter: https://www.postgresql.org/about/news/postgresql-164-158-1413-1316-1220-and-17-beta-3-released-2910/

GitHub Advisory Database vom 2024-08-08 (08.08.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-3c6g-7v4g-5xcm

PostgreSQL Security Advisory vom 2024-08-08 (08.08.2024)
Weitere Informationen finden Sie unter: https://www.postgresql.org/support/security/CVE-2024-7348/

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zu Händen PostgreSQL. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

08.08.2024 – Initiale Halterung

+++ Redaktioneller Zeiger: Dieser Text wurde aufwärts Stützpunkt aktueller BSI-Datenmaterial generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon unter Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de