A PostgreSQL fejlesztői a napokban új verziókat voltak kénytelenek kiadni ismert adatbáziskezelő rendszerükből, miután kiderült, hogy abban egy igen súlyos sebezhetőség bújt meg. Ennek kihasználásával támadók az adatbázis-hozzáférési szabályok teljes megkerülésével végezhetnek műveleteket egy apró trükk révén. A hiba lényegét az képezi, hogy a PostgreSQL a pg_dump segédprogram futtatása során nem akkor végez el bizonyos biztonsági ellenőrzéseket, amikor kellene, hanem jó előre - később pedig a korábban elvégzett vizsgálatok eredményére épít. Így viszont ha a dump futásával párhuzamosan a támadó végrehajt bizonyos módosításokat az adatbázison, tetszőleges műveletek végrehajtására veheti rá az adatbáziskezelőt a pg_dump-ot futtató felhasználó jogosultságaival - ami tipikusan a root szokott lenni. A hiba kihasználásához a támadóknak hozzáféréssel kell rendelkeznie az adatbázishoz és ott objektumok létrehozására kell jogosultságának lennie. Ezen kívül meg kell várnia azt, hogy - pl. egy...