Sicherheitsmaßnahme: PostgreSQL-Team versteckt Sourcecode-Änderungen
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Anzeige

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.

Kommentieren



Anzeige

  1. IT-Spezialist/-in für Anwendungs­administration
    Dataport, Hamburg oder Bremen
  2. Application Manager (m/w)
    Deutsche Leasing AG, Bad Homburg vor der Höhe (bei Frankfurt am Main)
  3. Professur (W 2) für Informatik / Human Computer Interaction
    Hochschule Offenburg, Offenburg
  4. IT-Application Developer Web (m/w)
    THOMAS SABO GmbH & Co. KG, Lauf / Pegnitz

 

Detailsuche


Folgen Sie uns
       


  1. #Bentgate

    Verbiegt sich das iPhone 6 Plus in der Hosentasche?

  2. Akku

    Schnelleres Laden von iPhone 6 mit iPad-Netzteil

  3. Security

    Doubleclick liefert Malware aus

  4. Browser

    Google Chrome für iOS unterstützt Erweiterungen

  5. Thaw

    Das Smartphone schnappt Dateien vom Bildschirm

  6. Threshold

    Beta von Windows 9 erst im Oktober 2014, aber mit Startmenü

  7. Neue AGB

    Kickstarter klärt Regeln für gescheiterte Projekte

  8. Handelsplattform

    Datenschützer warnt vor Alibaba

  9. Playstation

    Remote-Play-Funktion für viele Android-Geräte portiert

  10. Apple

    10 Millionen neue iPhones am ersten Wochenende verkauft



Haben wir etwas übersehen?

E-Mail an news@golem.de



Lytro: Lichtfeldfotografie bildet die Tiefe der Welt ab
Lytro
Lichtfeldfotografie bildet die Tiefe der Welt ab
  1. Photokina 2014 Olympus stellt Open-Source-Kamerakonzept vor
  2. Mittelformatkamera H5D-50c Hasselblad mit WLAN
  3. Digitalkamera Nikon zeigt erste Vollformat-DSLR mit Klappdisplay

Zoobotics: Vier- und sechsbeinige Pappkameraden
Zoobotics
Vier- und sechsbeinige Pappkameraden
  1. Schnell, aber ungenau Roboter springt im Explosionsschritt
  2. Softrobotik Weicher Roboter bekommt neuen Antrieb
  3. Dyson 360 Eye Staubsauger schickt Sauberkeitsbericht übers Smartphone

Apples iOS 8 im Test: Das mittelmäßigste Release aller Zeiten
Apples iOS 8 im Test
Das mittelmäßigste Release aller Zeiten
  1. Potenzielles Sicherheitsproblem iOS-8-Tastaturen wollen mithören
  2. Apple Update auf iOS 8 macht das iPhone 4S träger
  3. Watchever und Dropbox Einige Apps haben Probleme mit iOS 8

    •  / 
    Zum Artikel