Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Datenbanken 03.06.2026 · 3 min Lesezeit

PostgreSQL schließt elf Sicherheitslücken in den Versionen 14 bis 18

Die PostgreSQL Global Development Group hat elf Sicherheitslücken geschlossen, vier davon mit CVSS 8.8. Betroffen sind alle unterstützten Versionen 14 bis 18. Administratoren sollten zeitnah auf die korrigierten Releases aktualisieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Beispielgrafik zu PostgreSQL mit Datenbankserver, Tabellen, SQL-Abfragen, Transaktionen und Replikation als allgemeine Darstellung eines PostgreSQL-Systems.

Die PostgreSQL Global Development Group hat am 14. Mai 2026 Sicherheitsupdates für alle aktuell unterstützten Versionen des Datenbanksystems veröffentlicht. Die Releases 18.4, 17.10, 16.14, 15.18 und 14.23 schließen insgesamt elf Sicherheitslücken, von denen vier mit dem CVSS-Score 8.8 als hochriskant eingestuft sind. Betroffen sind praktisch alle Produktionsumgebungen, die eine der Versionen 14 bis 18 einsetzen. Die Lücken reichen von Berechtigungsumgehungen über Speicherfehler bis hin zu Denial-of-Service-Szenarien.

Die Schwachstellen im Detail

Vier der elf Schwachstellen tragen den höchsten in diesem Release vergebenen CVSS-Wert von 8.8 (High Risk). Dazu zählen ein Integer-Wraparound (CVE-2026-6473), das Symlink-Following in den Backup-Werkzeugen pg_basebackup und pg_rewind (CVE-2026-6475), ein Stack-Buffer-Overwrite in der Client-Bibliothek libpq (CVE-2026-6477) sowie ein Stack-Buffer-Overflow im Modul refint (CVE-2026-6637).

Die in der Erstmeldung als kritisch hervorgehobene Lücke CVE-2026-6472 betrifft eine Berechtigungsumgehung im Befehl CREATE TYPE bei Multirange-Schemata, durch die beliebige SQL-Funktionen und Code unter den Privilegien des Datenbankbenutzers ausgeführt werden können. Anders als zunächst dargestellt liegt der CVSS-Wert dieser Schwachstelle bei 5.4. CVE-2026-6475 kann beim Symlink-Following dazu führen, dass für Superuser das zugrunde liegende Betriebssystemkonto übernommen wird.

Weitere Einträge betreffen einen Timing-Kanal-Angriff auf den MD5-Passwortvergleich (CVE-2026-6478, CVSS 6.5), der eine Rekonstruktion von Anmeldedaten erlaubt, sowie einen Denial-of-Service durch unkontrollierte Rekursion auf AF_UNIX-Sockets (CVE-2026-6479, CVSS 7.5). CVE-2026-6476 betrifft die Versionen 17 und 18, CVE-2026-6575 ausschließlich Version 18. Neben den Sicherheitskorrekturen enthalten die Releases über 60 weitere Bugfixes.

Bin ich betroffen?

Betroffen sind alle Installationen von PostgreSQL 14 bis 18, konkret die Versionen 14.23, 15.18, 16.14, 17.10 und 18.4 sowie sämtliche älteren Ausgaben dieser Hauptversionen. Die installierte Version lässt sich über die Datenbank oder die Kommandozeile prüfen:

psql -c "SELECT version();"
postgres --version

Zu den verwundbaren Komponenten gehören CREATE TYPE, das Integer-Handling, pg_basebackup, pg_rewind, libpq, die SSL- und GSS-Verarbeitung, die logische Replikation sowie das Modul refint. Zusätzlich ist das Operator-Projekt CloudNativePG betroffen: Eine RCE-Lücke im Metrics-Exporter (CVE-2026-44477) wurde mit Notfall-Patches adressiert.

Wie behebe ich das?

Die PostgreSQL-Entwickler empfehlen ein unmittelbares Upgrade auf die korrigierten Versionen 18.4, 17.10, 16.14, 15.18 oder 14.23. Für CloudNativePG-Deployments stehen die Releases 1.29.1 und 1.28.3 bereit, die CVE-2026-44477 schließen.

Lässt sich ein Update nicht sofort einspielen, kommen als überbrückende Maßnahmen die Einschränkung von Datenbankbenutzerrechten, eine Netzwerk-Segmentierung, das Monitoring auf SQL-Injection-Aktivität sowie die Deaktivierung von CREATE TYPE für nicht vertrauenswürdige Nutzer infrage. Diese Workarounds ersetzen das eigentliche Update jedoch nicht.

Was bedeutet das für Unternehmen?

Die Schwachstellen ermöglichen je nach Konstellation SQL-Injection, Remote Code Execution mit Datenbankbenutzer-Privilegien, Speicherkorruption und Denial-of-Service; in Kombination droht für Superuser eine Kompromittierung auf Betriebssystemebene. Damit sind Datenverlust, die Exfiltration sensibler Daten, Systemabstürze sowie potenzielle Compliance-Verstöße im Rahmen von DSGVO und PCI-DSS verbunden.

Da Patches verfügbar sind und nahezu jede Produktionsumgebung mit PostgreSQL 14 bis 18 betroffen ist, sollten Administratoren das Einspielen der Updates priorisieren. Zu beachten ist, dass PostgreSQL 14 am 12. November 2026 das End-of-Life erreicht und danach keine Sicherheitsupdates mehr erhält. Das Release vom 14. Mai 2026 liegt bereits rund 20 Tage zurück, sodass nicht aktualisierte Systeme entsprechend länger exponiert sind.

Quellen: PostgreSQL Release Announcement, Heise Online, BornCity, SUSE Security Advisory, SecurityOnline.info, The Build, CloudNativePG Release.

Verwandt

Weiter lesen

Alle Artikel →
Datenbankserver-Symbolbild für PostgreSQL-Performance-Tuning auf einem Linux-Server
02.06.2026 ·12 min

PostgreSQL-Performance-Tuning für Einsteiger

Diese Anleitung zeigt dir das wichtigste PostgreSQL-Performance-Tuning für Einsteiger: sinnvolle Werte in der postgresql.conf mit klaren Faustregeln, B-Tree-Indizes richtig einsetzen, EXPLAIN und EXPLAIN ANALYZE lesen, autovacuum verstehen und PgBouncer für viele Verbindungen.
Infografik zur Installation und Absicherung von MariaDB oder MySQL, mit Paketinstallation, Dienststart, mysql_secure_installation, Root-Schutz, entfernten Testkonten und sicher konfiguriertem Datenbankzugriff.
02.06.2026 ·9 min

MariaDB / MySQL installieren und absichern

Diese Anleitung zeigt dir Schritt für Schritt, wie du MariaDB auf Debian 12 oder Ubuntu 24.04 LTS installierst und absicherst: mariadb-secure-installation, root-Login per unix_socket, Benutzer mit minimalen Rechten sowie Remote-Zugriff über bind-address und Firewall.
Hero-Bild zu PostgreSQL mit Terminal, Backup per pg_dump und Wiederherstellung per pg_restore für Migration und Datensicherung über die Kommandozeile.
01.06.2026 ·8 min

PostgreSQL pg_dump und pg_restore: Anleitung für Backup und Migration per Kommandozeile

PostgreSQL pg_dump pg_restore Anleitung: Lerne die Backup-Formate plain, custom und tar kennen, führe vollständige und selektive Restores aus, nutze Parallel-Dump und automatisiere deine Sicherungen per cron.