Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2026-42198
- Název závislosti: postgresql JDBC
- Ovlivněná verze závislosti: 42.2.0 – 42.7.10
- Skóre závažnosti: 7.5 High
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Verze DPGW ovlivňující verze závislostí
- <= 1.13.20-REL
- <= 1.12.45-REL
Posouzení rizik a použitelnosti
Použití
DPGW využívá k připojení k databázi ovladač JDBC pro PostgreSQL.
Analýza
CVE-2026-42198 je chyba zabezpečení typu „odmítnutí služby“ (DoS) na straně klienta v ovladači PostgreSQL JDBC (pgjdbc). Vyskytuje se během ověřovacího handshake SCRAM-SHA-256. Mechanismus: Škodlivý server může odeslat „server-first-message“ obsahující extrémně vysoký počet iterací pro funkci PBKDF2 (např. miliony nebo miliardy iterací). Klient se pokusí tento hash vypočítat, čímž spotřebuje 100 % jádra procesoru na neomezenou dobu. To může zmrazit skupiny připojení a způsobit zablokování aplikace.
Protože se DPGW nepřipojuje k libovolným, uživatelem zadaným nebo nedůvěryhodným externím URL databází, není přímý útok ze strany „škodlivého serveru“ zvenčí možný. Útočník nemůže jednoduše zadat URL svého vlastního serveru, aby spustil útok typu DoS.
Stav
Neovlivněno
Dopad na DPGW
Při použití připojení k databázi pouze přes localhost nebo při připojení k důvěryhodným serverům nedochází k žádným dopadům.
Náprava a zmírnění dopadů
Akce uživatele
Nenastavujte DPGW pro komunikaci s nedůvěryhodnými databázovými servery PostgreSQL.