Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Anzeige

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.

Kommentieren



Anzeige

  1. Business Analyst / SAP Inhouse Consultant (m/w) für die SAP-Module MM/WM/QM, Bereich Materialwirtschaft
    Diehl Aerospace GmbH, Frankfurt am Main
  2. CERT-Mitarbeiterin / CERT-Mitarbeiter
    IT-Dienstleistungszentrum Berlin, Berlin
  3. Software-Entwickler / Software-Tester (m/w) für Applikationssoftware
    FERCHAU Engineering GmbH, Raum Berlin
  4. IT-Entwickler Sharepoint (m/w)
    DEKRA SE, Stuttgart

 

Detailsuche


Hardware-Angebote
  1. G.Skill DIMM 8 GB DDR3-1600 Kit
    59,90€
  2. MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)
  3. Fire TV Stick
    39,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. Auto-Hilferuf

    eCall wird ab 2018 Pflicht

  2. Raumfahrt

    Progress-Raumfrachter ist auf falschem Kurs

  3. BND-Affäre

    Opposition verlangt von Merkel Liste der NSA-Selektoren

  4. LG G4 im Hands On

    Hervorragende Kamera und edle Leder-Optik

  5. Skyworth

    Fernsehhersteller Metz wird chinesisch

  6. Boeing X-37B

    Neuer Flug für die US-Dauerdrohne

  7. Leistungsschutzrecht

    VG Media will Hunderte Millionen Euro von Google

  8. Windows 10

    Microsoft bezeichnet kostenloses Upgrade als Marketing

  9. Telefoniefunktion

    Whatsapp speichert Anrufe

  10. Dirt Rally

    Klassischer Motorsport im Early Access



Haben wir etwas übersehen?

E-Mail an news@golem.de



Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Everybody's Gone to the Rapture: Apokalypse in der Nachbarschaft angespielt
Everybody's Gone to the Rapture
Apokalypse in der Nachbarschaft angespielt
  1. Indiegame Sony bringt Journey in Full-HD auf die Playstation 4
  2. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  3. Axiom Verge im Test 16 Bit für Genießer

Android 5.1 im Test: Viel nützlicher Kleinkram
Android 5.1 im Test
Viel nützlicher Kleinkram
  1. Google EU-Wettbewerbsverfahren auch zu Android
  2. Lollipop Trage-Erkennung setzt Passwortsperre aus
  3. Google Android 5.1 bringt mehr Bedienungskomfort und Sicherheit

  1. Re: Irgendwie komme ich mit der Rechnung nicht mit

    tingelchen | 21:39

  2. Ich find das mit dem Leder ganz gut

    miauwww | 21:38

  3. Re: "Rückhaltlos aufklären"

    Jasmin26 | 21:37

  4. Re: Hauptsache "wir" können noch besser töten.

    Bouncy | 21:36

  5. Re: Bevor ich wechsle fehlt leider:

    eruanno | 21:34


  1. 18:16

  2. 17:36

  3. 17:35

  4. 17:30

  5. 17:25

  6. 17:18

  7. 16:46

  8. 16:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel