Die PostgreSQL-Entwickler haben am 14. Mai umfassende Wartungsupdates für alle unterstützten Versionen veröffentlicht. Die Patches beheben elf Sicherheitslücken und über 60 Fehler.
Die Aktualisierungen betreffen die Versionen 18.4, 17.10, 16.14, 15.18 und 14.23 – eine bemerkenswerte Synchronisation der Sicherheitsarchitektur des Open-Source-Datenbanksystems. Entwickler und Administratoren sollten die Updates umgehend einspielen, denn die Schwachstellen reichen von Privilegieneskalation über Code-Ausführung bis hin zu Denial-of-Service-Angriffen.
Während Software-Patches kritische Lücken in der Infrastruktur schließen, müssen Unternehmen ihre gesamte digitale Verteidigungsstrategie proaktiv anpassen. Dieses kostenlose E-Book bietet IT-Verantwortlichen wertvolle Einblicke, wie sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen effizient erfüllen. Gratis-E-Book zur IT-Sicherheit jetzt herunterladen
Kritische Lücke in der Berechtigungsprüfung
Besonders brisant ist die Schwachstelle CVE-2026-6472. Sie betrifft den CREATE TYPE-Befehl. Das Datenbanksystem prüfte nicht ausreichend, ob ein Nutzer überhaupt die Berechtigung hat, Schema-Erstellungsrechte für Multirange-Typen zu vergeben. Ein Angreifer kann darüber Abfragen kapern und beliebige SQL-Funktionen ausführen. Entdeckt wurde die Lücke von Jelte Fennema-Nio – sie betrifft sämtliche Versionen von 14 bis 18.
Ebenfalls gefährlich: CVE-2026-6473, ein Integer-Überlauf in mehreren Server-Komponenten. Hier können Angreifer Speicherzuweisungen manipulieren, was zu Instabilität oder ausnutzbaren Zuständen führt.
Alte MD5-Passwörter werden zur Gefahr
Die Entwickler haben auch die Authentifizierung gehärtet. CVE-2026-6478 beschreibt einen versteckten Timing-Kanal beim Vergleich von MD5-gehashten Passwörtern. Sicherheitsforscher Joe Conway zeigte, dass Angreifer darüber Zugangsdaten rekonstruieren können. Zwar setzt PostgreSQL seit Jahren auf das sicherere SCRAM-SHA-256 – doch viele Datenbanken, die von Version 13 oder älter aktualisiert wurden, verwenden noch immer die alten MD5-Hashes.
Ein weiteres Sicherheitsproblem betrifft die SSL- und GSS-Protokollaushandlung: CVE-2026-6479 ermöglicht Denial-of-Service-Angriffe über unkontrollierte Rekursion bei Verbindungen über AF_UNIX-Sockets. Die Lücke wurde von Calif.io in Zusammenarbeit mit Forschern von Anthropic gemeldet.
CloudNativePG schließt kritische RCE-Lücke
Das Cloud-Ökosystem reagiert schnell. Am 15. Mai veröffentlichte die CloudNativePG-Community Notfall-Updates für ihre Versionen 1.29 und 1.28. Grund war CVE-2026-44477 – eine Schwachstelle im Metrics-Exporter, die Privilegieneskalation und Remote-Code-Ausführung ermöglichte.
Das Problem: Der Metrics-Exporter stellte seine PostgreSQL-Verbindung zunächst als Superuser her. Zwar wurde die Sitzung später auf die pg_monitor-Rolle herabgestuft – doch der Session-User blieb als Superuser markiert. Dadurch konnte jeder SQL-Befehl innerhalb der Scrape-Session die vollen Rechte wiederherstellen und über COPY ... TO PROGRAM beliebige Prozesse starten.
Angriffe auf die IT-Infrastruktur, wie etwa durch Remote-Code-Ausführung, zeigen, wie wichtig eine ganzheitliche Prävention für mittelständische Betriebe geworden ist. Erfahren Sie in diesem kostenlosen Report, welche neuen Bedrohungen auf Ihr Unternehmen zukommen und wie Sie sich ohne großes Budget wirksam schützen können. Kostenlosen Cyber-Security-Guide für Unternehmen sichern
Mehmet Ince meldete die Schwachstelle verantwortungsvoll und lieferte gleich zwei Proof-of-Concept-Exploits. Die Versionen 1.29.1 und 1.28.3 sind jetzt verfügbar. Sie enthalten auch Sicherheitsfixes für die Go-Laufzeitumgebung und den pgx-Treiber.
Über 60 Bugfixes und ein wichtiges End-of-Life-Datum
Neben den Sicherheitslücken behebt das Mai-Update mehr als 60 Fehler. Die Korrekturen betreffen unter anderem den Query-Planner, die logische Replikation und den VACUUM-Prozess. Die Entwickler lösten Probleme mit SQL-Prozeduren, die zusammengesetzte Typen zurückgeben, und schlossen Race-Conditions in der logischen Replikation.
Ein wichtiger Hinweis für Administratoren: PostgreSQL 14 erreicht am 12. November 2026 sein End-of-Life. Danach gibt es keine Sicherheits- oder Fehlerkorrekturen mehr. Wer noch auf Version 14 arbeitet, sollte die Migration auf Version 17 oder 18 planen.
Auch die Werkzeuge im PostgreSQL-Ökosystem wurden aktualisiert: pgAdmin 9.15 und pgFormatter 5.10 bringen verbesserte Unterstützung für MERGE-Abfragen und komplexe PL/pgSQL-Blöcke.
Ausblick: PostgreSQL 19 kommt im September
Während die Community die Wartungsupdates verarbeitet, richtet sich der Blick auf den nächsten großen Release-Zyklus. PostgreSQL 18, das am 25. September 2025 erschien, setzte mit dem asynchronen I/O-Subsystem (AIO) neue Maßstäbe. Die Skip-Scan-Optimierung für B-Tree-Indizes und die uuidv7()-Funktion für zeitgestempelte UUIDs haben sich in der Praxis bewährt.
Der Fahrplan sieht PostgreSQL 19 für September 2026 vor. Erste Diskussionen deuten auf eine weitere Verbesserung verteilter Workloads und eine Verfeinerung des AIO-Subsystems hin.
Der nächste Meilenstein ist die POSETTE: An Event for Postgres 2026, eine virtuelle Entwicklerkonferenz vom 16. bis 18. Juni. Organisiert vom Microsoft-Postgres-Team, wird die Konferenz zeigen, wie PostgreSQL sich zur „Everything Database“ entwickelt – für relationale Workloads, JSON-Dokumente, Vektor-Embeddings für KI und analytische Verarbeitung.
Fazit für Administratoren
Mit elf behandelten CVEs im Kern und einer kritischen RCE-Lücke in der Cloud-Native-Verwaltungsschicht markiert diese Woche einen der bedeutendsten Sicherheitsvorfälle für die PostgreSQL-Community der letzten Zeit. Die Breite der betroffenen Versionen bedeutet: So gut wie jede aktive Produktionsinstallation braucht Aufmerksamkeit.
Die Minor-Updates sind kumulativ – sie enthalten alle früheren Sicherheits- und Fehlerkorrekturen. Für die meisten Installationen ist kein vollständiger Dump und Restore nötig, allerdings können bestimmte Sicherheitsfixes manuelle Schritte erfordern. Die Kombination aus aktuellen Sicherheitsrisiken und dem nahenden End-of-Life für Version 14 schafft einen klaren Handlungsdruck für die Modernisierung der Datenbanklandschaft.
