Aktuelle PostgreSQL Minor Releases bereitgestellt

Am 08.08.2024 wurden die neuen PostgreSQL Minor Releases 16.4, 15.8, 14.13, 13.16, 12.20, bereitgestellt. Diese beinhalten Fixes für über 55 Bugs, die seit dem letzten Update im Mai gemeldet wurden.

Erst in den letzten Wochen wurd eine kritische Sicherheitslücke endeckt, die unter dem CVE-2024-7348 „hoch“ geführt wird. So können Angreifer, die Objekte erstellen dürfen, im Zuge einer Time-of-Check-Time-of-Use-Attacke (TOCTOU) Manipulationen durchführen und im Kontext von pg_dump eigene SQL-Befehle ausführen. Pg_dump wird von Anwendern häufig mit Superuser Rechten gestartet (nicht Best Practice), so dass Angreifer in diesem Fall Schadcode mit weitreichenden Rechten ausführen könnten. Das Erfüllen der Race Condition setzt lediglich eine offen gehaltene Transaktion voraus. Betroffen sind alle Major-Versionen (12-16). Wir empfehlen deshalb, das aktuelle Minor-Release zeitnah einzuspielen, um die Lücke zu schließen..

Beim Update auf ein neueres Minor Release werden keine strukturellen Änderungen vorgenommen. Stattdessen werden nur die Programmdateien ausgetauscht. Somit ist ein Update auf eine neuere Version im Normallfall mit der Installation und einem anschließenden Neustart von PostgreSQL abgeschlossen. Spezifische Informationen zum Update finden Sie in den jeweiligen Release Notes des betreffenden Minor Releases.

Die nächsten Minor Releases sind offiziell für den 14. November 2024 geplant. Dieses ist planmäßig das letzte Update für das Major-Release 12.

Wir empfehlen die aktuellen Minor Releases generell einzuspielen, sobald eine Freigabe durch den jeweiligen Applikationshersteller vorliegt.

Gerne unterstützen wir Sie bei der Planung und Durchführung der Updates.

Weitere Informationen erhalten Sie in der Veröffentlichung der PostgreSQL Global Development Group