PostgreSQL-Entwickler schließen Lücken

Anwender von PostgreSQL 7 und 8 sollten ihre Installationen aktualisieren. Die Entwickler haben neue Versionen veröffentlicht, die eine als moderat eingestufte Lücke in PL/perl und PL/tcl beheben. Betroffen sind die Bugs CVE-2010-1169, CVE-2010-1447 und CVE-2010-1170. Zu den Änderungen gehört unter anderem der Verzicht auf das Modul Safe.pm, das eine Art Sandbox für Perl-Programme implementiert. Stattdessen enthält der PostgreSQL-Code jetzt eine festverdrahtete Liste zulässiger Perl-Operatoren. Ein Nebeneffekt ist den Release-Notes zufolge eine schnellere Übersetzung in Perl geschriebener Stored Procedures.

Betroffen von dem Upgrade sind die PostgreSQL-Versionen 8.0 bis 8.4 und 7.4. Online stehen Installationspakete und Quellen zur Verfügung, die aktuellen Versionen sind 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25 und 7.4.29. Allerdings wird es für 8.0 und 7.4 ab Juni 2010 keine Aktualisierungen mehr geben, weshalb das Entwicklerteam deren Nutzern den Umstieg auf neuere Versionen empfiehlt. Für die vor Kurzem veröffentlichte Beta von 9.0 soll es in wenigen Tagen ebenfalls einen Nachfolger geben, der die Lücken schließt. (ck)