Ubuntu behebt eine schwerwiegende PostgreSQL-Schwachstelle
PostgreSQL ist eine weit verbreitete, objektrelationale SQL-Datenbank mit offenem Quellcode. Wie jede andere Software ist sie jedoch nicht immun gegen Sicherheitslücken. Eine neue hochgradige Sicherheitslücke wurde in PostgreSQL-Versionen vor PostgreSQL 16.4, 15.8, 14.13, 13.16 und 12.20 entdeckt.
Canonical hat Sicherheitsupdates veröffentlicht, um diese Schwachstelle in verschiedenen Versionen zu beheben, darunter Ubuntu 24.04 LTS, Ubuntu 22.04, LTS und Ubuntu 20.04 LTS. Benutzern wird dringend empfohlen, auf die neueste gepatchte Version von PostgreSQL zu aktualisieren.
Was ist die PostgreSQL-Schwachstelle?
Eine Time-of-check Time-of-use (TOCTOU) Race Condition Schwachstelle wurde im pg_dump Utility von PostgreSQL entdeckt. Diese Schwachstelle erlaubt es einem Angreifer mit Objekterstellungsrechten, beliebige Funktionen als Superuser auszuführen. Der Exploit beinhaltet das Ersetzen eines existierenden Relationstyps durch einen View oder eine Fremdtabelle. Während der Angreifer darauf warten muss, dass pg_dump gestartet wird, ist das Ausnutzen der Race Condition einfach, wenn der Angreifer eine offene Transaktion aufrechterhält.
Time-of-check Time-of-use ist eine Art von Race-Condition-Schwachstelle, die auftritt, wenn zwischen dem Zeitpunkt, zu dem ein System eine Ressource (wie eine Datei oder ein Objekt) prüft, und dem Zeitpunkt, zu dem es diese Ressource tatsächlich nutzt, eine Lücke besteht. Während dieser Lücke kann ein Angreifer die Ressource manipulieren, um ihren Zustand zu verändern, was zu unbeabsichtigtem oder bösartigem Verhalten des Systems führt.
Zeitpunkt der Prüfung: Dies ist der Zeitpunkt, an dem das System bestimmte Bedingungen, wie z. B. Berechtigungen oder Gültigkeit, prüft, um festzustellen, ob ein Vorgang fortgesetzt werden soll.
Nutzungszeit: Dies ist der Zeitpunkt, zu dem das System den Vorgang tatsächlich durchführt, z. B. das Lesen, Schreiben oder Ausführen einer Datei.
Die Schwachstelle entsteht, weil diese beiden Schritte nicht atomar sind (d. h. nicht gleichzeitig stattfinden). Ein Angreifer kann diese Lücke ausnutzen, indem er den Status der Ressource ändert oder sie durch eine andere Ressource ersetzt, nachdem die Prüfung bestanden hat, aber bevor sie verwendet wird.
Verfügbare Updates
Wenn Sie die betroffenen PostgreSQL-Versionen verwenden, sollten Sie unbedingt so schnell wie möglich auf die neuesten Versionen aktualisieren. Canonical hat Sicherheitsupdates veröffentlicht, um diese Schwachstelle in verschiedenen Versionen zu beheben, darunter Ubuntu 24.04 LTS, Ubuntu 22.04, LTS und Ubuntu 20.04 LTS. Ubuntu-Benutzer können die Updates im PostgreSQL APT Repository finden und die neueste verfügbare Version erhalten.
Das Debian-Sicherheitsteam hat auch Sicherheitsaktualisierungen für Debian 11 und Debian 12 bereitgestellt.
Patches für PostgreSQL-Sicherheitslücken in älteren Linux-Versionen
Die PostgreSQL-Schwachstelle (CVE-2024-7348) betrifft auch CentOS 7-, Ubuntu 16.04- und Ubuntu 18.04-Systeme, die keine offiziellen Updates, einschließlich Sicherheitsbehebungen, mehr erhalten. Dabei handelt es sich um veraltete Versionen, die bereits das Ende ihrer Lebensdauer (EOL) erreicht haben. Sie werden jedoch von einigen Benutzern und Organisationen aufgrund von Betriebseinschränkungen oder Legacy-Software noch verwendet.
Anwender und Unternehmen, die auf diese älteren Linux-Distributionen setzen, können den Extended Lifecycle Support von TuxCare nutzen, um bis zu fünf Jahre nach dem offiziellen End-of-Life-Datum weiterhin Sicherheitsupdates zu erhalten. Dieser Service bietet Patches für über 140 Pakete, darunter den Linux-Kernel, glibc, OpenSSL, PostgreSQL, Python, OpenJDK und mehr.
Das ELS-Team hat kürzlich einen Patch für die oben genannte Sicherheitslücke in CentOS 7, Ubuntu 16.04 und Ubuntu 18.04 veröffentlicht. Sie können den Patch-Status für jede Sicherheitslücke in unserem CVE-Tracker verfolgen.
Quelle: USN-6968-1