Freie Datenbank: PostgreSQL beseitigt kritische Sicherheitslücke

Eine von Mitsumasa Kondo und Kyotaro Horiguchi vom NTT Open Source Software Center gefundene Sicherheitslücke in PostgreSQL hatte die Entwickler der freien Datenbank zu besonderen Maßnahmen greifen lassen: Am 1. April hatten sie den Zugriff auf den freien Quellcode gesperrt. So sollte verhindert werden, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert und so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen können.

Ab sofort steht das angekündigte Sicherheitsupdate zum Download bereit: In PostgreSQL 9.2.4, 9.1.9 und 9.0.13 ist der Fehler beseitigt, die Version 8.4 war nicht betroffen, wurde aber ebenfalls auf die Version 8.4.17 aktualisiert.

Gefährdet sind alle PostgreSQL-Server, die aus dem Internet erreichbar sind. Jeder Nutzer, der den Port des PostgreSQL-Servers erreichen kann, ist in der Lage, eine Datenbank, deren Name mit "-" beginnt, anzufragen, was Dateien auf dem Server zerstören kann. Das kann zum Absturz des Servers führen und es Angreifern unter bestimmten Umständen ermöglichen, beliebigen Code auf den Servern auszuführen.

Die PostgreSQL-Entwickler haben vorab all diejenigen über die Sicherheitslücke informiert, die ihrerseits Binärpakete von PostgreSQL anbieten, so dass diese mit Veröffentlichung des Updates zur Verfügung stehen sollten. Zudem wurde der Cloud-Anbieter Heroku informiert, da dieser samt seiner Kunden besonders gefährdet war, heißt es in einer FAQ zum Update.

Darüber hinaus beseitigt das Update weitere kleine Sicherheitslücken in der Software.