Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Datenbanken 30.05.2026 · 2 min Lesezeit

PostgreSQL-Updates: Elf Lücken in 18.4, 17.10, 16.14, 15.18 und 14.23

Die PostgreSQL-Entwickler schließen elf Sicherheitslücken in allen unterstützten Hauptversionen. Zwei Bugs (CVE-2026-6473 und CVE-2026-6475) sind als hochkritisch eingestuft.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Rechenzentrum mit beleuchteten Server-Reihen symbolisiert globale IT-Investitionen 2026

Die PostgreSQL-Entwickler haben Sicherheitsupdates für alle unterstützten Hauptversionen veröffentlicht. PostgreSQL 18.4, 17.10, 16.14, 15.18 und 14.23 schließen insgesamt elf Sicherheitslücken. Zwei davon (CVE-2026-6473 und CVE-2026-6475) sind mit CVSS 8,8 jeweils als hochkritisch eingestuft.

Worum es geht

Bei CVE-2026-6473 handelt es sich um einen Integer-Underflow in mehreren PostgreSQL-Funktionen, der dazu führen kann, dass Speicherbereiche kleiner alloziert werden als nötig. Schreibzugriffe außerhalb des intendierten Speichers lösen anschließend Segmentation Faults und Datenbank-Crashes aus. CVE-2026-6475 ist eine Symlink-Following-Schwachstelle in pg_basebackup und pg_rewind: Ein PostgreSQL-Superuser auf einem Origin-Server kann lokale Dateien überschreiben und so die Kontrolle über das Betriebssystem-Konto übernehmen, unter dem PostgreSQL läuft. Die übrigen neun Bugs adressieren weitere Robustheits- und Berechtigungsprobleme, sind aber niedriger eingestuft.

Wie prüfe ich, ob ich betroffen bin?

Auf Ubuntu/Debian zeigt der Paketmanager die installierte Version und mögliche Updates:

psql --version && apt-cache policy postgresql

Welche Cluster laufen aktuell und in welcher Version?

sudo pg_lsclusters

Direkt im Cluster die Version inklusive Build-Info abfragen:

sudo -u postgres psql -c 'SHOW server_version;' -c 'SHOW server_version_num;'

Welche Endpunkte horchen extern (Stichwort: PostgreSQL hinter Firewall):

sudo ss -tlnp | grep -E ':5432|postgres'

Patch und Härtung

Auf Debian-/Ubuntu-Distributionen läuft das Update klassisch über die Paketverwaltung; nach dem Upgrade die Cluster-Dienste neu starten:

sudo apt update && sudo apt install --only-upgrade postgresql postgresql-client postgresql-common && sudo systemctl restart postgresql

Wer auf produktiven Clustern arbeitet, vorher unbedingt einen logischen Dump als Sicherung ziehen (pg_dumpall) und das Failover-Verhalten von Streaming-Replicas testen. Wegen der Symlink-Following-Lücke in pg_basebackup sollten Backup-Routinen, die als PostgreSQL-Superuser laufen, vorerst nicht auf shared Hosts ausgeführt werden, auf denen sich nicht vertrauenswürdige Nutzer befinden.

Für den DACH-Mittelstand sind PostgreSQL-Cluster oft das Rückgrat von ERP-, CRM- und Self-Hosted-SaaS-Lösungen wie GitLab oder Nextcloud. Wer Managed-PostgreSQL bei einem Cloud-Anbieter (AWS RDS, Hetzner Cloud, IONOS) bezieht, sollte den Patch-Stand des Providers explizit nachfragen – Managed-Angebote ziehen Patches nicht zwingend tagesgleich nach.

Mehr aus der Kategorie Datenbanken: News aus der Kategorie Datenbanken

Quelle: heise online – PostgreSQL: Updates patch high-risk security vulnerabilities.