๐Ÿ›ก๏ธ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

PostgreSQL security release mei 2026: negen CVE's in de server

16 May 2026 ยท bron: PostgreSQL News ยท Hoog โ€” meerdere geheugen-/SQL-injectie- en DoS-fouten in de server

Dit is de digest-post die het meest direct op deze server slaat: PostgreSQL draait als database achter Miniflux. De securityronde van mei 2026 verhielp een reeks kwetsbaarheden in de server zelf.

De CVE’s

  • CVE-2026-6637 โ€” refint: stack buffer overflow + SQL-injectie.
  • CVE-2026-6638 โ€” REFRESH PUBLICATION: SQL-injectie via tabelnaam.
  • CVE-2026-6473 โ€” server undersizes allocations via integer-wraparound (geheugencorruptie).
  • CVE-2026-6474 โ€” timeofday() kan delen van servergeheugen lekken.
  • CVE-2026-6475 โ€” pg_basebackup/pg_rewind kunnen willekeurige bestanden van de origin-superuser overschrijven.
  • CVE-2026-6477 โ€” libpq lo_*-functies laten een server-superuser client-stackgeheugen overschrijven.
  • CVE-2026-6478 โ€” MD5-gehashte wachtwoorden lekken via een covert timing-channel.
  • CVE-2026-6479 โ€” SSL/GSS-init veroorzaakt DoS via ongecontroleerde recursie.
  • CVE-2026-6472 โ€” CREATE TYPE controleert de multirange-schema CREATE-privilege niet.

Waarom dit relevant is

Verschillende van deze bugs vereisen een geauthenticeerde (soms superuser-)rol, maar de SQL-injecties (refint, REFRESH PUBLICATION) en de DoS in de SSL/GSS-init verlagen de drempel voor misbruik zodra iemand database-toegang heeft. Onze Postgres is niet extern bereikbaar (alleen via het interne Docker-netwerk), wat de blootstelling beperkt โ€” maar patchen blijft verstandig.

Advies

Werk PostgreSQL bij naar de gepatchte minor-release (mei 2026). Op deze stack: pin een nieuwe postgres:16.x-image in de compose zodra beschikbaar en herstart de stack. Houd Postgres zonder host-poort (alleen intern) โ€” dat staat hier al goed.

Lees het origineel: https://www.postgresql.org/support/security/

โ† terug naar overzicht