PostgreSQL-Patch behebt drei kritische Sicherheitslücken
Kommentare

Postgre-Datenbanken der Versionen 9.1.3, 9.0.7, 8.4.11 sowie 8.3.18 sollen so schnell wie möglich aktualisiert werden. Neben drei kritischen Sicherheitslücken befinden sich 45 Bugfixes im Update.
Das

Postgre-Datenbanken der Versionen 9.1.3, 9.0.7, 8.4.11 sowie 8.3.18 sollen so schnell wie möglich aktualisiert werden. Neben drei kritischen Sicherheitslücken befinden sich 45 Bugfixes im Update.

Das Update wird nötig, da CREATE TRIGGERnicht die Rechte prüft, mit denen die trigger-Funktion aufgerufen wird. Über dieses Hintertürchen konnte sich jeder Inhaber eigener Datenbank selbst via SECURITY DEFINER höhere Rechte verschaffen.

Dann gab es noch den Fehler, dass die Namen von SSL-Zertifikaten auf 32 Zeichen gekürzt wurden. Hosts, deren Namen exakt 32 Zeichen betrugen, waren auf diesem Weg anfällig für SSL-Hijacking.

Die dritte große Sicherheitslücke bei PostgreSQL steckt in pg_dump-Dateien, die Codezeilen ausführen können, falls sich diese hinter einem Zeilenumbruch befinden.

Da von den Sicherheitslücken alle aktuell unterstützen Versionen von PostgreSQL betroffen sind, wird ein Update zur nächsten geplanten Downtime empfohlen. Wer pg_dump, SSL-Zertifikate oder SECURITY DEFINER verwendet, der sollte das Update unverzüglich vollziehen. Die Pakete sind auf der Download-Seite von postgresql.org verfügbar. Das Update wird wie ein Minor-Release gehandhabt, womit kein Dump der Datenbank notwendig ist. Die Datenbank muss lediglich heruntergefahren, die Binary-Dateien müssen ersetzt und die Post-Update-Schritte ausgeführt werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -