Home > News > PostgreSQL - Sicherheitsloch macht Angreifer zum Admin

PostgreSQL - Sicherheitsloch macht Angreifer zum Admin

Die Einstellungen für die Nutzung des COPY TO/FROM PROGRAM Befehls ermöglicht allen Nutzern der Gruppe "pg_read_server_files" beliebigen Code im Kontext des Betriebssystems auszuführen. Damit kann ein normaler Benutzer sich über den Umweg des Betriebssystems sowohl im Betriebssystem als auch in der Datenbank weitere Rechte einräumen.

Diese Schwachstelle (CVE-2019-9193) ist bisher nicht behoben und es sind zumindest die Versionen 9.3 bis 11.2 von PostgreSQL betroffen. Der Workaround ist es, den COPY zu deaktivieren bzw. die Gruppe pg_read_server_files zu beschränken.