Skip to content

PostgreSQL: mitmed nõrkused võimaldavad koodi täitmist ja andmete kadumist

Kokkuvõttes: PostgreSQL-s on mitmed kriitilised nõrkused, mis võimaldavad kaugelt koodi täitmist ja andmete manipuleerimist; BSI hindab ohu taseme suurendatuks.

PostgreSQL-s avastati mitmed nõrkused, mis võimaldavad kaugusel asuvale ründajale käivitada suvalist koodi, ohvrustada turvamehhanisme, muuta andmeid või haarata tundlikku teavet.

Föderaalne Informaatikatehnika Turbeamet (BSI) on klassifitseerinud soovituse WID-SEC-2024-3475 suurendatud prioriteediga. PostgreSQL kuulub maailmas enim kasutatavate avatud lähtekoodiga andmebaasisüsteemide hulka ja seda kasutatakse ettevõtete keskkondades, pilveteenuste infrastruktuuris ja kriitilistes süsteemides.

Nõrkused võimaldavad erinevaid rünnakuscenaariume: kaugraskete koodi täitmine (RCE) võimaldab PostgreSQL-protsesside ülevõtmist, turvameetmete ohvrustamine ohuab juurdepääsukontrolli, ning andmete manipuleerimine ja teabevahetus võivad viia andmete kaotuseni või vastavushälveteni. Kaugusel asuv ründaja vajab selleks tavaliselt võrguühendust PostgreSQL-instantsiga; sõltuvalt nõrkusest võivad teatud autentimisnõuded ka puududa.

CISOs peaksid viivitamata kontrollima, millised PostgreSQL-versioonid nende infrastruktuuris aktiivselt töötavad, tutvuma BSI-nõuandega ja rakendama PostgreSQL-kogukonna turvavärskendustega. Kuna paljud rakendused ja mikroteenused tuginevad PostgreSQL-le, võib paigendamisega viivitamine põhjustada märkimisväärset riski äriandmete kättesaadavusele ja terviklikkusele. Inventuur ja prioritiseeritud värskenduste planeerimine on vajalik.


Allikas: wid.cert-bund.de · Avaldatud 26. juunil 2026
Lumi AI News — tehisintellekti-abiga kurateerimine kooskõlas EU AI Akti art. 50. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.1 abil.

Share on: