![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
CERT-Bund warnt Betreiber einer PostgreSQL-Datenbank vor einer Schwachstelle (CVE-2019-9193), \u00fcber die Benutzer beliebigen Code ausf\u00fchren k\u00f6nnen. Die Sicherheitsl\u00fccke wird als hoch eingestuft.<\/p>\nCERT-Bund warnt Betreiber einer PostgreSQL-Datenbank vor einer Schwachstelle (CVE-2019-9193), \u00fcber die Benutzer beliebigen Code ausf\u00fchren k\u00f6nnen. Die Sicherheitsl\u00fccke wird als hoch eingestuft.<\/p>\n
<\/p>\n
PostgreSQL ist eine frei verf\u00fcgbare Datenbank f\u00fcr unterschiedliche Betriebssysteme (macOS, Linux, Windows). In den Open Source PostgreSQL Versionen 9.3 – 11.2 erm\u00f6glicht eine Schwachstelle (CVE-2019-9193) das Ausf\u00fchren von beliebigem Programmcode mit Benutzerrechten. Der Eintrag f\u00fcr CVE-2019-9193 beschreibt folgendes:<\/p>\n
\nIn PostgreSQL 9.3 through 11.2, the \"COPY TO\/FROM PROGRAM\" function allows superusers and users in the 'pg_read_server_files' group to execute arbitrary code in the context of the database's operating system user. This functionality is enabled by default and can be abused to run arbitrary operating system commands on Windows, Linux, and macOS.<\/p>\n<\/blockquote>\n
Auf Medium findet sich eine Sicherheitswarnung<\/a> (Advisory) von Greenwolf Security mit Details. <\/p>\n
\nSeit der Version 9.3 wurde die neue Funktionalit\u00e4t f\u00fcr 'COPY TO\/FROM PROGRAM' implementiert. Dies erm\u00f6glicht es dem Datenbanksuperuser und jedem Benutzer in der Gruppe 'pg_read_server_files', beliebige Betriebssystembefehle auszuf\u00fchren. <\/p>\n
Dies bedeutet effektiv, dass es keine Trennung der Privilegien zwischen einem Datenbank-Superbenutzer und dem Benutzer, der die Datenbank auf dem Betriebssystem ausf\u00fchrt, gibt.<\/p>\n<\/blockquote>\n
(\u00c4nderung des Befehls, Quelle: Medium)<\/p>\nDies bedeutet, man kann die Datenbank durch entsprechende Befehle \u00fcbernehmen. Wer die PostgreSQL Versionen 9.3 bis 11.2 verwendet, sollte diese Funktion aus Sicherheitsgr\u00fcnden deaktivieren. Ein deutschsprachiger Beitrag<\/a> zum Thema findet sich bei Heise.<\/p>\n","protected":false},"excerpt":{"rendered":"
CERT-Bund warnt Betreiber einer PostgreSQL-Datenbank vor einer Schwachstelle (CVE-2019-9193), \u00fcber die Benutzer beliebigen Code ausf\u00fchren k\u00f6nnen. Die Sicherheitsl\u00fccke wird als hoch eingestuft.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-216569","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=216569"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/216569\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=216569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=216569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=216569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/web.archive.org\/web\/20211210133345\/https:\/\/cdn-images-1.medium.com\/max\/1600\/1*C1B8NKFwe3m3IF2e7aicRw.png\")