PostgreSQL-Updates schließen DoS-Lücke
Für sämtliche Releases der freien, relationalen Datenbank seit 8.3 gibt es neue Softwareversionen. Sie beheben einen vor wenigen Tagen gemeldeten Fehler, durch den ein Anwender den Server abstürzen lassen konnte.
- Christian Kirsch
Die fehlerhaft deklarierte Funktion enum_recv
erlaubte es angemeldeten PostgreSQL-Nutzern, den Datenbankserver durch ein manipuliertes SQL-Kommando abstürzen zulassen. Diese Lücke ist mit Updates für die Versionen 8.3, 8.4, 9.0, 9.1 und 9.2 geschlossen.
Wie die Entwickler in den Release-Notes erklären, hätte ein Angreifer dadurch theoretisch den Speicherinhalt des Servers untersuchen können. enum_recv
gehört zu den Funktionen, die Daten vom Typ Enumeration verarbeiten. Den Erläuterungen im Bug-Tracker von Red Hat zufolge liegt die Ursache für den Serverabsturz in einem fehlerhaften Array-Index beim Zugriff auf Textmeldungen.
Gleichzeitig beheben die Updates einen Fehler in Version 9.2, durch den sich dynamische Abfragen in Stored Procedures verlangsamt hatten. Die Entwickler empfehlen deshalb allen Nutzern dieser Version, die das Kommando EXECUTE
benutzen, ihre Installation zu aktualisieren.
Die aktuellen Quellen und Installationspakete für BSD, diverse Linux-Varianten, Windows, Solaris und OS X stehen im Download-Bereich des Projekts zur Verfügung. Für Version 8.3 soll dies das letzte Update sein. Ihren Nutzern empfehlen die Entwickler einen baldigen Umstieg auf einen Nachfolger. (ck)