Abo
  • Services:
Anzeige
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Sicherheitsmaßnahme: PostgreSQL-Team versteckt Sourcecode-Änderungen

Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Anzeige

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.


eye home zur Startseite
__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.



Anzeige

Stellenmarkt
  1. LEDVANCE GmbH, Garching bei München
  2. GALERIA Kaufhof GmbH, Köln
  3. Warner Music Group Germany Holding GmbH, Hamburg
  4. Computacenter AG & Co. oHG, Berlin, Frankfurt, Ratingen, Stuttgart, München


Anzeige
Hardware-Angebote
  1. und bis zu 60€ Steam-Guthaben erhalten
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. ab 799,90€

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Wannacry? Linux lacht :)

    ArcherV | 04:13

  2. Re: 1400W... für welche Hardware?

    ArcherV | 04:10

  3. Re: Warum überhaupt VLC nutzen

    ve2000 | 03:26

  4. Re: Unix, das Betriebssystem von Entwicklern, für...

    __destruct() | 03:26

  5. Re: Wirklich nicht umweltfreundlich?

    Onkel Ho | 03:25


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel