🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

PostgreSQL JDBC 42.7.12: stille channel-binding downgrade (CVE-2026-54291)

6 July 2026 · bron: PostgreSQL News · Middel — man-in-the-middle bij onderschepte TLS-verbinding

De PostgreSQL JDBC-driver heeft een security-release 42.7.12 gekregen voor CVE-2026-54291.

Wat is er aan de hand

Een verbinding die met channelBinding=require is geconfigureerd — dus expliciet mét channel binding — kon stil worden gedowngraded van SCRAM-SHA-256-PLUS (met channel binding) naar SCRAM-SHA-256 (zonder). Daarmee vervalt de man-in-the-middle-bescherming die de instelling juist hoort te garanderen.

Een aanvaller die de TLS-verbinding kan onderscheppen, forceert de downgrade met een certificaat waarvan het handtekening-algoritme geen tls-server-end-point channel-binding-hash kent. Voorbeelden zijn Ed25519, Ed448 en post-quantum-algoritmen. De kwetsbaarheid zit in releases 42.7.4 t/m 42.7.11.

Waarom dit relevant is voor deze stack

PostgreSQL draait als database achter Miniflux. Miniflux zelf gebruikt geen JDBC (het is een Go-applicatie), dus deze specifieke driver is hier niet in het pad. Toch is dit relevant zodra er een JVM-applicatie (bijvoorbeeld een rapportage- of ETL-tool) via JDBC op deze of een andere PostgreSQL aansluit — en het raakt het bredere Postgres-ecosysteem dat we volgen.

Advies

Werk de JDBC-driver bij naar 42.7.12 in elke JVM-applicatie die op PostgreSQL aansluit. Controleer expliciet dat channelBinding=require daadwerkelijk SCRAM-SHA-256-PLUS oplevert.

Lees het origineel: https://www.postgresql.org/about/news/postgresql-jdbc-42712-security-release-3340/

← terug naar overzicht