Anzeige
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Anzeige

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.

Kommentieren



Anzeige

  1. Software-Entwickler (m/w) Regalbediengeräte
    viastore SYSTEMS GmbH, Stuttgart
  2. IT-Projektmanager/-in Systemgestaltung im Arbeitsgebiet Machine Monitoring & Control
    Daimler AG, Sindelfingen
  3. Informatiker/in oder Ingenieur/in
    Deutsche Forschungsgemeinschaft e.V., Bonn
  4. Senior Software Developer (m/w) Java / Scala
    Webtrekk GmbH, Berlin

Detailsuche


Top-Angebote
  1. NEU: Doom (Steam-Key)
    33,79€ - Release 13.05.
  2. NEU: XCOM 2 (Steam-Key)
    32,79€
  3. NEU: Better Call Saul - Die komplette erste Season [Blu-ray]
    19,90€

Weitere Angebote


Folgen Sie uns
       


  1. Flash-Player mit Malware

    Mac-Nutzer werden hereingelegt

  2. The Binding of Isaac

    Apple lehnt Indiegame wegen Gewaltinhalten ab

  3. Sicherheitsupdate

    Java fixt sein Installationsprogramm

  4. Gesunkene Produktionskosten

    Oneplus Two kostet dauerhaft über 50 Euro weniger

  5. Netzneutralität

    Indien verbietet Facebooks kostenlosen Internetservice

  6. Fernsehserien

    Netflix hält nichts von wöchentlicher Ausstrahlung

  7. Agatha Christie im Test

    Hercule Poirot auf den Spuren von Sherlock Holmes

  8. Netgear-Router-Software

    Schwachstelle ermöglicht Dateiupload und Download

  9. Sprachanrufe

    Google führt Peer-to-Peer-Verbindungen bei Hangouts ein

  10. Galaxy View im Test

    Samsungs Riesentablet scheitert als Fernseher-Alternative



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xcom 2 im Test: Strategie wie vom anderen Stern
Xcom 2 im Test
Strategie wie vom anderen Stern
  1. Vorschau Spielejahr 2016 Cowboys und Cyberspace
  2. Xcom 2 angespielt Mit Strategie die Menschheit retten

Verschlüsselung: Nach Truecrypt kommt Veracrypt
Verschlüsselung
Nach Truecrypt kommt Veracrypt

Sèbastien Loeb Rally Evo im Test: Mit dem Weltmeister über Stock und Stein
Sèbastien Loeb Rally Evo im Test
Mit dem Weltmeister über Stock und Stein
  1. Dirt Rally im Test Motorsport für Fortgeschrittene
  2. Rockstar Games Jede Kugel zählt in GTA Online
  3. Microsoft Forza 6 bekommt Mikrotransaktionen

  1. Re: Geschlossene Plattform

    Little_Green_Bot | 00:00

  2. Re: Wenn die Akkulaufzeit...

    Benkt | 08.02. 23:59

  3. Re: Da müssen viele Macuser aufholen

    DrWatson | 08.02. 23:57

  4. Re: Custom-ROMs...

    Benkt | 08.02. 23:57

  5. Re: Und wieder keine US-Englische Tastatur

    stoneburner | 08.02. 23:56


  1. 17:53

  2. 16:39

  3. 16:15

  4. 15:33

  5. 15:27

  6. 14:41

  7. 14:00

  8. 12:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel