PostgreSQL bekommt Mega-Patch

EnterpriseSicherheit

Die Entwickler der freien Datenbank PostgreSQL haben einen Patch ins Netz gestellt.

Dieser schließt eine gefährliche Sicherheitslücke. Einige PostgreSQL-Nutzer müssen sich gleichzeitig jedoch von lieb gewonnenen Gewohnheiten verabschieden. Sonst dürften manche existierende PostgreSQL-Anwendungen nach dem Einsatz einer gepatchten PostgreSQL-Version nicht mehr funktionieren.
 
Nach Angaben von Josh Berkus, PostgreSQL Core Developer, haben die Entwickler eine Schwachstelle geschlossen, die so genannte SQL-Injection-Attacken erlaubte. Hacker können damit die Kontrolle über ein System übernehmen. Von diesem Leck waren alle PostgreSQL-Versionen betroffen.

Die Lücke ist in den Versionen 7.3.15, 7.4.13, 8.1.4 und 8.0.8 geschlossen, die von den Entwicklern jetzt ins Netz gestellt wurden. Berkus forderte die PostgreSQL-Administratoren dazu auf, die Datenbank-Server und die Datenbank-Treiber zu aktualisieren. Zudem sollten nicht-standardisierte String-Escaping-Mechanismen wie ‘backslash-escape’ oder ‘ ‘ entfernt werden.

Besonders dieser Schritt sei zwar “schmerzvoll”, hieß es von Berkus. Das sei jedoch der beste Weg – weil die allermeisten PostgreSQL-Anwendungen von diesem Problem nicht berührt seien.