• IT-Karriere:
  • Services:

Sicherheitsmaßnahme: PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Artikel veröffentlicht am ,
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Stuttgart
  2. Dürr Systems AG, Bietigheim-Bissingen

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Golem Akademie
  1. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /