Late privilege drop in REFRESH MATERIALIZED VIEW CONCURRENTLY in PostgreSQL allows an object creator to execute arbitrary SQL functions as the command issuer.In der Praxis wird das vermutlich kaum jemanden betreffen, weil außer mir niemand verschiedene Berechtigungen in Datenbanken vergibt, sondern lieber ein "technischer User" genommen wird.
Und ich verwende kein Postgres, bin daher also auch nicht betroffen.
Aber lasst euch davon nicht vom Patchen abhalten. Alle Patches einspielen.
Update: Im Übrigen sei an der Stelle der Hinweis erlaubt, dass Postgres sich hier geradezu vorbildlich und professionell verhalten hat. Sie haben nicht rumgelogen oder runtergespielt, sie haben nicht von krimineller Energie der Angreifer gefaselt, die haben schnell Patches gemacht, und zwar für alle Versionen, und sie wollten kein Geld für Support abgreifen. Wenn mich mal jemand nach einer SQL-Datenbank-Empfehlung fragt, empfehle ich immer Postgres. Da hatte ich bisher auf jedem Schritt den Eindruck, dass das Erwachsene betreiben und verwalten, und da niemand bloß Selbstdarstellung oder Spendenabgreifen macht.