Abo
  • Services:

Sicherheitsmaßnahme: PostgreSQL-Team versteckt Sourcecode-Änderungen

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Artikel veröffentlicht am ,
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen.
Eine Sicherheitslücke zwingt das PostgreSQL-Team zu ungewöhnlichen Maßnahmen. (Bild: PostgreSQL)

Ab dem heutigen 1. April wird wegen einer Sicherheitslücke der Zugriff auf die Quellcodes des PostgreSQL-Projekts zum Teil gesperrt. In der Ankündigung heißt es, die Sperre gelte ab dem Nachmittag bis zur Veröffentlichung eines Sicherheitsupdates. Das wird voraussichtlich am 4. April passieren. Administratoren sollten sich also schon einmal darauf vorbereiten, PostgreSQL in einer neuen Version zu installieren.

Stellenmarkt
  1. Software AG, Darmstadt
  2. Hays AG, Darmstadt, Wiesbaden, Frankfurt

Die Zugriffssperre auf die Veränderungen des Quelltextes betrifft nicht alle Entwickler. Der anonyme Git-Mirror und die Commit-Nachrichten werden nicht mehr aktualisiert, wie PostgreSQL-Entwickler Magnus Hagander erklärt.

Nur registrierte PostgreSQL-Entwickler werden also die aktuellen Quellen und ihre Veränderungen sehen. Für alle anderen bleiben das Projekt und die Repositories auf einem älteren Stand, bis die Arbeiten an dem Sicherheitsupdate abgeschlossen sind.

Mit der Maßnahme verhindern die Entwickler, dass sich Projektfremde während der Tage, in denen das Sicherheitsupdate in den Quellcode integriert wird, anschauen können, was passiert. Sie könnten so die Sicherheitslücke nachvollziehen und noch vor Veröffentlichung des Patches mit Angriffen beginnen. Die Veröffentlichung braucht aber ein paar Tage, da der Patch erst einmal getestet werden muss.

Sobald der Quelltext wieder offen ist, können potenzielle Angreifer einen Vorher-nachher-Vergleich machen. Es empfiehlt sich also, das Sicherheitsupdate möglichst schnell zu installieren. Die Sicherheitslücke stecke schon seit Jahren im Quelltext, so Hagander. Die Entwickler haben aber keine Kenntnis davon, dass die Lücke von irgendjemandem gefunden oder gar ausgenutzt worden sei.

Wenn die Entwicklung des Patches abgeschlossen ist, wird das PostgreSQL-Projekt wieder ganz normal arbeiten. Die Änderungen bleiben transparent und auch Details zu der Sicherheitslücke, die die Entwickler zu dem drastischen Schritt bewegte, werden veröffentlicht. Die Maßnahme sei eine Ausnahme für einen "sehr bösen Exploit", so Hagander, um möglichst wenigen die Gelegenheit zu geben, einen solchen zu entwickeln. Den Entwicklern ist aber bewusst, dass durch die Ankündigung jetzt einige "Bad Guys" etwas genauer in die Quellen schauen.



Anzeige
Blu-ray-Angebote
  1. Jetzt für 150 EUR kaufen und 75 EUR sparen
  2. (u. a. 4 Blu-rays für 20€, 2 TV-Serien für 20€)

__destruct() 01. Apr 2013

Ich habe eine wichtige Information nicht gelesen. Weiteres hier.


Folgen Sie uns
       


Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Bundesnetzagentur Regierung will gemeinsames 5G-Netz auf dem Land durchsetzen
  2. Mobilfunk Telekom will 5G-Infrastruktur mit anderen gemeinsam nutzen
  3. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
    Probefahrt mit Tesla Model 3
    Wie auf Schienen übers Golden Gate

    Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
    Ein Erfahrungsbericht von Friedhelm Greis

    1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
    2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
    3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

      •  /