Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Anzeige

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.

Kommentieren



Anzeige

  1. SAP Entwickler (m/w)
    realtime AG, Langenfeld, Dresden, Hamburg, Konstanz
  2. Security Consultant (m/w)
    Microsoft Deutschland GmbH, Berlin, Köln, München
  3. Application Support Analyst (m/w) - Bibliothekarischer Support
    OCLC GmbH, Böhl-Iggelheim bei Mannheim
  4. Senior PHP Entwickler (m/w)
    über HRM Consulting GmbH, Konstanz, München

 

Detailsuche


Blu-ray-Angebote
  1. Blu-rays unter 10 EUR
    (u. a. 300 Rise of an Empire, Heartbreak Ridge, Pearl Harbor, The Losers, Bodyguard, American...
  2. Transformers 4: Ära des Untergangs [3D Blu-ray]
    19,99€
  3. 300: Rise of an Empire Ultimate Collectors Edition [3D Blu-ray] [Limited Edition]
    69,99€ statt 129,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. MIPS Creator CI20 angetestet

    Die Platine zum Pausemachen

  2. Bündelung

    Telekom nennt Preise für bundesweites Hybrid-Angebot

  3. Spectre x360 mit 13 Zoll

    HPs neues Convertible tritt gegen Lenovos Yoga an

  4. Daimler

    Autos kommen bald ohne Fahrer aus

  5. Nikon Cooplix P900

    Das Monster mit 83fachem Zoom

  6. Qualcomm Sense ID

    3D-Fingerabdruckleser für Handys arbeitet mit Ultraschall

  7. Xperia M4 Aqua im Hands on

    Sonys preisgünstiger Einstieg in die Unterwasserwelt

  8. Referenzprogramm

    Cyanogen und Qualcomm beschließen Partnerschaft

  9. ARM-Chiphersteller

    NXP kauft Freescale für 12 Milliarden US-Dollar

  10. Lumia 640 und 640 XL

    Microsofts neue Lumias gibt es ab 140 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de



Galaxy S6 und Edge-Variante: Samsungs neue Top-Smartphones im Glaskleid
Galaxy S6 und Edge-Variante
Samsungs neue Top-Smartphones im Glaskleid
  1. Exynos 7 Octa Schneller Prozessor des Galaxy S6 wird in 14 nm gefertigt
  2. Qualcomm-Prozessor LG widerspricht Hitzeproblemen beim Snapdragon 810
  3. Hitzeprobleme Galaxy S6 erscheint ohne Qualcomms Snapdragon 810

Spieldesign: Spiele sollen sich nicht wie Filme anfühlen
Spieldesign
Spiele sollen sich nicht wie Filme anfühlen
  1. Steam Valve kündigt neues VR-Headset an
  2. Microsoft Xbox One wird wohl ab Sommer zum Dev Kit
  3. Games PS4 und Xbox One bei Spielentwicklern beliebter

Nachruf: Dif-tor heh smusma, Mr. Spock!
Nachruf
Dif-tor heh smusma, Mr. Spock!
  1. Virtuelle Realität Oculus VR kauft Ingenieure fürs Holodeck

  1. Re: Gute Produkte!

    chewbacca0815 | 12:16

  2. Re: Designer werden anders aussehen?

    Gontah | 12:15

  3. Re: Welche Router alternative ?

    Melibokus | 12:15

  4. Erfahrungen?

    Jack Hate | 12:15

  5. Sehr interessant...

    sp1derclaw | 12:14


  1. 12:02

  2. 11:57

  3. 11:42

  4. 11:39

  5. 11:30

  6. 11:22

  7. 10:57

  8. 10:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel