Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Anzeige

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.

Kommentieren



Anzeige

  1. Projektleiter / Business Analysten (m/w) im Bereich Versicherungen
    Bitech AG, Hürth bei Köln
  2. Datenbankadministrator (m/w) Controlling
    opta data Abrechnungs GmbH, Essen
  3. Support Engineer Advisor (m/w)
    Wacker Chemie AG, München
  4. Senior Expert Process & Application, Group Finance Reporting (m/w)
    Deutsche Telekom Accounting GmbH, Bonn

 

Detailsuche


Hardware-Angebote
  1. JETZT ÜBERARBEITET: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  2. NUR BIS 9. JULI: Crucial-Arbeitsspeicher kaufen und bis zu 45€ Rabatt sichern
  3. Apple TV MD199FD/A (3. Generation, 1080p) schwarz
    65,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Blizzard

    Helden, Helden und noch mehr Helden

  2. Core i7-6700K im Test

    Skylake ist Intels beste Plattform

  3. Fallout 4

    Kampf im Super Duper Markt

  4. Vorschlag zu Icann-Übergabe

    Es wird kompliziert

  5. Electronic Arts

    Need for Speed mit Echtzeit-Compositing

  6. Freies Büropaket

    Libreoffice springt auf Version 5.0

  7. Hoverboard

    Lexus hebt ab

  8. Netzpolitik.org und Landesverrat

    Wie viel Leaken ist erlaubt?

  9. Privatsphäre

    Windows 10 telefoniert zu viel nach Hause

  10. Crema

    Eine Programmiersprache ohne Turing-Vollständigkeit



Haben wir etwas übersehen?

E-Mail an news@golem.de



Luftschiff: Zeppeline für die Zukunft
Luftschiff
Zeppeline für die Zukunft
  1. Nemo's Garden Erdbeeren und Basilikum wachsen im Meer
  2. Fairy Lights Holographisches Display aus Laser zum Anfassen
  3. Hoverboard Lexus will zurück in die Zukunft schweben

Microsoft: Die Neuerungen von Windows 10
Microsoft
Die Neuerungen von Windows 10
  1. Windows 10 Microsoft gibt Enterprise-Version frei
  2. Microsoft Über 14 Millionen sind bereits auf Windows 10 gewechselt
  3. Neuer Windows Store Windows 10 erlaubt deutlich weniger Parallelinstallationen

Windows 10 im Test: Unfertiger, aber guter Windows-8.1-Bugfix
Windows 10 im Test
Unfertiger, aber guter Windows-8.1-Bugfix
  1. Windows 10 im Tablet-Test Ein sinnvolles Windows für Tablets
  2. Microsoft DVD-Player-App für Windows 10 nicht für jeden gratis
  3. Windows 10 Startmenü macht nach 512 Einträgen schlapp

  1. Re: Bereits bei install alles ausgemacht...

    KarlaHungus | 14:22

  2. Re: Diese Einstellungen lassen sich alle direkt...

    SchmuseTigger | 14:21

  3. Kühler

    KarlHanke | 14:21

  4. Re: Paradoxe Gesellschaft

    Bigfoo29 | 14:20

  5. Re: Windows 7 auch betroffen!

    Mr Miyagi | 14:20


  1. 14:16

  2. 14:00

  3. 13:28

  4. 13:14

  5. 12:51

  6. 12:00

  7. 11:51

  8. 10:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel