Sicherheitsupdate für freie Datenbank PostgreSQL
Die Entwickler schließen mehrere Sicherheitslücken, die Anwendern eine Veränderung ihrer Rechte erlaubten. Außerdem warnen sie vor einem noch nicht behobenen Fehler, der das Kapern eines System-Accounts ermöglicht.
- Christian Kirsch
Für die Versionen 9.0 bis 9.3 und 8.4 der freien relationalen Datenbank PostgreSQL haben die Entwickler Aktualisierungen veröffentlicht, die Sicherheitslücken schließen. Einige davon ermöglichen Anwendern, ihre Rechte zu verändern, andere erlauben in der Folge von Speicherfehlern das Ausführen beliebigen Codes.
Das PostgreSQL-Wiki erläutert die Bugs detailliert. An derselben Stelle findet sich auch die Beschreibung eines Fehlers, den die Entwickler bisher nicht behoben haben. Er betrifft vor allem Nutzer, die die Software selbst aus den Quellen übersetzen. Das dabei ausgeführte Kommando make check ist offenbar so implementiert, dass es einem anderen Anwender das Kapern des Accounts ermöglicht.
Ein Patch dafür soll erst später veröffentlicht werden. Einstweilen raten die PostgreSQL-Entwickler, make check nur unter besonderen Bedingungen auszuführen: Auf dem Rechner sollte es entweder keine nicht vertrauenswürdigen Nutzer geben, oder der zum Ausführen des Kommandos verwendete Account darf nur Rechte für das Testen haben. Als Ursache für das Problem wurde die Verwendung des Scripts initdb identifiziert. PostgreSQL-Anwender sollten deshalb, so der Wiki-Beitrag, ihre Installationen auf dessen automatisierten Einsatz überprüfen.
Aktualisierte Installationspakete für diverse BSD- und Linux-Versionen sowie OS X, Solaris und Windows gibt es ebenso wie die PostgreSQL-Quellen auf der Download-Seite des Projekts. (ck)
