PostgreSQL

Flere SQL-indsprøjtnings-sårbarheder er blevet opdaget i PostgreSQL, hvilket kan åbne mulighed for, at angribere kan afvikle ondsindet kode.

PostgreSQL er en objekt-relationel database-server, der udgives under den åbne BSD-licens. Den er således et alternativ til databasesystemer som MySQL eller Microsoft SQL.

Hvis sårbarhederne udnyttes kan en angriber afvikle vilkårlige SQL-sætninger, hvilket kan kompromittere applikationer, give adgang til data eller udnytte andre sårbarheder i databasen.  

Svaghederne rammer PostgreSQL i versioner tidligere end 11.1 og 10.6.

Den alvorligste sårbarhed giver brugere mulighed for at logge ind med et tomt password.

En anden sårbarhed giver mulighed for, at passwords lækkes til uautoriserede brugere. Udviklerne har tidligere forsøgt at lukke sikkerhedshullet, men rettelsen var ikke fuldstændig effektiv.

Den sidste sårbarhed giver enhver bruger mulighed for at ændre på data i et stort objekt. Det skyldes, at brugerens privilegier ikke bliver kontrolleret.