Gefährliche Sicherheitslücke in PostgreSQL: GitLab reagiert nicht

Einführung in die Problematik


Ein gravierendes Sicherheitsproblem in PostgreSQL ist seit dem 18. November bekannt. Die Situation ist alarmierend; da GitLab bisher keine entsprechenden Patches bereitstellt.



Details zur Sicherheitslücke


Eine der kritischsten Lücken ermöglicht Angreifern mit geringeren Rechten, beliebigen Code in der Datenbank auszuführen. PostgreSQL bewertet diese Sicherheitsanfälligkeit mit 8,8 Punkten auf der CVSS-3.0-Skala — ein besorgniserregendes Zeichen. Es reicht aus, dass ein Nutzer ohne Administratorrechte Systemvariablen wie PATH verändert; darauf folgen potenzielle Kompromittierungen der Datenbank.



Empfehlungen von PostgreSQL


PostgreSQL hat bereits die Lücken behoben. Die Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 sollten umgehend installiert werden. Diese Updates sind von großer Bedeutung für die Sicherheit der Systeme.



GitLab's Umgang mit der Situation


Leser berichteten im März. Dass GitLab nach wie vor an den unsicheren Versionen 14.11 und 16.4 festhält. Die Verzögerungen bei den Updates sind nicht zu unterschätzen — sie stellen ein Risiko dar.



Anfrage an GitLab


Die Redaktion hat sich an GitLab gewandt um eine Stellungnahme zu der aktuellen Lage zu erhalten. Bisher gab es jedoch noch keine unmittelbare Rückmeldung.






Kommentare

Die Sicherheit von PostgreSQL ist in großer Gefahr. Ohne schnelle Reaktionen von GitLab könnte es zu ernsthaften Problemen kommen. Die betroffenen Nutzer sollten die empfohlenen Versionen installieren um ihre Systeme zu schützen.


Anzeige