Wenn das set_user-Extension-Modul aktiv ist, könnten Angreifer Systeme mit dem Datenbankmanagementsystem PostgreSQL attackieren und sich höhere Nutzerrechte verschaffen. Ein Sicherheitspatch steht zum Download bereit. Die Sicherheitslücke (CVE-2021-38140) gilt als „kritisch“. In einer Warnmeldung geben die Entwickler an, die Schwachstelle im set_user-Extension-Modul 2.0.1geschlossen zu haben. Um sich höhere Rechte zu verschaffen, müssten Angreifer über den Aufruf der set_user()-Funktion einen RESET-SESSION-AUTHORIZATION-Zustand auslösen. Das soll nun blockiert sein. Wie Angriffe ablaufen könnten, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung der Lücke sollten Admins, die das Modul nutzen, ihre Installation zeitnah auf den aktuellen Stand bringen. Wie das geht, kann man auf Github nachlesen.
