US-Finanzministerium durch zehn Jahre alten PostgreSQL Zero-Day gehackt
2025-03-17
Das US-Finanzministerium erlitt einen Datenverlust durch eine fast zehn Jahre alte SQL-Injection-Schwachstelle in PostgreSQL. Der Angriff war keine einfache SQL-Injection; er nutzte die Ausgabe einer internen Postgres-String-Escape-Methode, die direkt in das psql-Kommandozeilenprogramm eingespeist wurde. Die Angreifer verwendeten zwei Bytes, `c0 27`, um das PAM-Tool von Beyond Trust und die Funktion pg_escape_string zu umgehen und erlangten so die volle Kontrolle über psql und führten beliebige Systembefehle aus. Dies zeigt, wie subtile, langjährige Schwachstellen, selbst in stark geprüften Open-Source-Projekten, zu schwerwiegenden Sicherheitsverletzungen führen können.
Technologie
PostgreSQL-Schwachstelle