PostgreSQL JDBC 42.7.12: stille channel-binding downgrade (CVE-2026-54291)
De PostgreSQL JDBC-driver heeft een security-release 42.7.12 gekregen voor CVE-2026-54291.
Wat is er aan de hand
Een verbinding die met channelBinding=require is geconfigureerd — dus expliciet mét channel
binding — kon stil worden gedowngraded van SCRAM-SHA-256-PLUS (met channel binding) naar
SCRAM-SHA-256 (zonder). Daarmee vervalt de man-in-the-middle-bescherming die de instelling
juist hoort te garanderen.
Een aanvaller die de TLS-verbinding kan onderscheppen, forceert de downgrade met een
certificaat waarvan het handtekening-algoritme geen tls-server-end-point
channel-binding-hash kent. Voorbeelden zijn Ed25519, Ed448 en post-quantum-algoritmen. De
kwetsbaarheid zit in releases 42.7.4 t/m 42.7.11.
Waarom dit relevant is voor deze stack
PostgreSQL draait als database achter Miniflux. Miniflux zelf gebruikt geen JDBC (het is een Go-applicatie), dus deze specifieke driver is hier niet in het pad. Toch is dit relevant zodra er een JVM-applicatie (bijvoorbeeld een rapportage- of ETL-tool) via JDBC op deze of een andere PostgreSQL aansluit — en het raakt het bredere Postgres-ecosysteem dat we volgen.
Advies
Werk de JDBC-driver bij naar 42.7.12 in elke JVM-applicatie die op PostgreSQL aansluit.
Controleer expliciet dat channelBinding=require daadwerkelijk SCRAM-SHA-256-PLUS oplevert.