#Linux & Open Source · 3 Min. Lesezeit · Tim Rinkel

DATENBANK-ALARM! 20 Jahre alte Postgres-Lücke wird JETZT scharf — fertiger Exploit ist DRAUSSEN

DATENBANK-ALARM! 20 Jahre alte Postgres-Lücke wird JETZT scharf — fertiger Exploit ist DRAUSSEN

Lange war es nur Theorie — jetzt ist es scharf. Für eine kritische Lücke in der beliebten Datenbank PostgreSQL kursiert ab sofort ein fertiger Exploit (PoC) im Netz. Das Pikante: Der Fehler steckt im Verschlüsselungs-Modul pgcrypto — und zwar seit über 20 Jahren. Wer seinen Server nicht gepatcht hat, sollte JETZT handeln.

20 JAHRE übersehen: Die Lücke CVE-2026-2005

Die Schwachstelle trägt das Kürzel CVE-2026-2005 und ist ein klassischer Heap-Buffer-Overflow. Im Klartext: Beim Verarbeiten einer präparierten PGP-Nachricht berechnet pgcrypto eine Schlüssel-Länge falsch und schreibt zu viele Daten in einen nur 32 Byte großen Puffer — ganz ohne Längen-Prüfung. Der verwundbare Code steckt seit 2005 in pgcrypto, also seit den ersten Tagen der Erweiterung.

Das Ergebnis eines erfolgreichen Angriffs ist heftig: beliebige Code-Ausführung als der Systembenutzer, unter dem die Datenbank läuft. Angreifer können sich so zum PostgreSQL-Superuser hochstufen und sogar Betriebssystem-Befehle absetzen.

SCHOCK: Eine KI hat die Uralt-Lücke gefunden

Spannend ist auch, WIE der Bug ans Licht kam. Aufgespürt hat ihn „Xint Code“, ein autonomes, KI-gestütztes Sicherheits-Tool. Ein funktionierender RCE-Exploit wurde live beim Wettbewerb ZeroDay.Cloud 2025 in London (Dezember 2025) vorgeführt und gemeinsam mit dem Wiz-Research-Team verantwortungsvoll offengelegt. Jetzt, da der PoC öffentlich ist, steigt der Druck enorm.

BETROFFEN? Diese Versionen sind verwundbar

Gefährdet sind alle PostgreSQL-Installationen vor den Versionen 18.2, 17.8, 16.12, 15.16 und 14.21 — sofern die pgcrypto-Extension aktiv ist. Das PostgreSQL-Team hatte den Fix bereits am 8. Februar 2026 eingecheckt und am 12. Februar 2026 über alle unterstützten Hauptversionen ausgeliefert. Wer seitdem nicht aktualisiert hat, läuft jetzt mit offenem Visier.

So rettest du deinen Server in 5 MINUTEN

1. Updaten: Spiele die passende Minor-Version ein (z. B. von 17.x auf 17.8). Das ist der sauberste Weg.

2. pgcrypto rauswerfen, falls ungenutzt: Brauchst du die Erweiterung gar nicht, entferne sie mit DROP EXTENSION pgcrypto;. Kein pgcrypto, keine Lücke.

3. Rechte einschränken: Entziehe der Allgemeinheit das Ausführungsrecht auf die Entschlüsselungs-Funktionen (REVOKE EXECUTE ... FROM PUBLIC) und vergib es nur gezielt an einzelne Service-Rollen.

FAZIT: Patchen, bevor es jemand ausprobiert

Eine 20 Jahre alte Lücke plus ein frischer Exploit ist eine gefährliche Kombination — besonders für selbst gehostete Datenbanken im Homelab. Die gute Nachricht: Der Patch ist seit Februar da. Du musst ihn nur einspielen. Mach das lieber heute als morgen.

Häufige Fragen

Welche Versionen sind betroffen?
Alle PostgreSQL-Installationen vor 18.2, 17.8, 16.12, 15.16 und 14.21, bei denen die pgcrypto-Extension aktiviert ist. Hast du eine dieser oder eine neuere Version eingespielt, bist du auf der sicheren Seite.
Wie merke ich, ob mein System verwundbar ist?
Prüfe deine PostgreSQL-Version mit SELECT version(); und ob pgcrypto aktiv ist mit \dx in psql. Läuft eine ältere Minor-Version mit aktivem pgcrypto, solltest du sofort handeln.
Wie behebe ich das Problem konkret?
Am besten die passende gepatchte Minor-Version einspielen. Brauchst du pgcrypto nicht, entferne es per DROP EXTENSION pgcrypto. Zusätzlich kannst du EXECUTE-Rechte auf die Entschlüsselungs-Funktionen von PUBLIC entziehen.
Gab es schon aktive Angriffe?
Öffentlich bekannt ist bislang vor allem der jetzt veröffentlichte Proof-of-Concept. Sobald ein funktionierender Exploit kursiert, steigt das Risiko realer Angriffe aber deutlich — Abwarten ist daher keine gute Idee.

Quellen & weiterführende Links:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert