Aktualisierte Versionen der Datenbank-Software PostgreSQL sind erschienen, die Entwickler haben mehrere Sicherheitslöcher gestopft . Angreifern war es möglich, die Rechte auszuweiten und die Datenbank zu blockieren. Für die PostgreSQL-Zweige 7.3, 7.4, 8.0, 8.1 und 8.2 stehen nun entsprechenden Updates bereit. Eine der Schwachstellen, die geschlossen wurden, betreffen die Indexerstellung von benutzerdefinierten Funktionen, die den Benutzern die Ausweitung der Rechte erlauben. Hierbei liefen die Funktionen teilweise mit Superuser-Rechten, was die Ausführung der Befehle SET ROLE und SET SESSION AUTHORIZATION erlaubte.
Verschiedene Reguläre Ausdrücke in SQL-Abfragen konnten von Angreifern genutzt werden, um Denial-of-Service-Angriffe auszuführen. Damit geriet die Datenbank in Endlosschleifen, die sämtlichen verfügbaren Speicher verbrauchten oder zum Absturz führten.
Die PostgreSQL-Programmierer listen in ihren Releasenotes weitere Änderungen in den neuen Versionen auf, welche jedoch mehr oder weniger kosmetische Korrekturen darstellen. Die Datenbank-Entwickler raten schnellstmöglich die aktuellen Updates einzuspielen.
zurück zur Übersicht | Szene.News eintragen
Kommentare
Noch keine Kommentare vorhanden.
Kommentar anfügen
