PostgreSQL-Entwickler schließen Sicherheitslücken

Die PostgreSQL-Entwickler haben aktualisierte Versionen der Datenbank-Software veröffentlicht, die mehrere Schwachstellen abdichten. Angreifer konnten durch die Lücken ihre Rechte ausweiten oder die Datenbank lahmlegen – die Programmierer stufen das Risiko als kritisch ein. Außerdem wollen die Entwickler die Unterstützung für ältere Versionen einstellen.

Updates stehen für die Zweige 7.3, 7.4, 8.0, 8.1 und 8.2 von PostgreSQL bereit. Sie beheben eine Schwachstelle bei der Indexerstellung von benutzerdefinierten Funktionen, die Benutzern die Ausweitung ihrer Rechte ermöglichte. Die Funktionen liefen zum Teil mit Superuser-Rechten und erlaubten zudem die Ausführung der Befehle SET ROLE und SET SESSION AUTHORIZATION. Auch in dem Zusatzmodul DBLink konnten Anwender unter Umständen ihre Zugriffsberechtigungen erhöhen. Außerdem konnten Angreifer mit Regular Expressions in SQL-Abfragen Denial-of-Service-Angriffe ausführen, da die Datenbank dadurch in Endlosschleifen geraten, allen verfügbaren Speicher verbrauchen oder abstürzen konnte.

In den Releasenotes listen die Programmierer weitere Änderungen in den neuen Versionen auf, die jedoch eher kosmetische Korrekturen umfassen. Die Version 7.3.21 soll das letzte Update für den Entwicklungszweig sein, die Fassungen 8.0.15 und 8.1.11 hingegen die letzten Versionen, für die die PostgreSQL-Entwickler auch Windows-Binaries bereitstellen. Die Entwickler empfehlen betroffenen Adminstratoren, auf die aktuellen Zweige der Datenbank umzusteigen. Außerdem raten die PostgreSQL-Programmierer dazu, die Updates so schnell wie möglich einzuspielen.

Siehe dazu auch:

• 2008-01-07 Cumulative Security Update Release, Sicherheitsmeldung der PostgreSQL-Entwickler
• Download der aktualisierten PostegreSQL-Pakete
• Releasenotes zu den neuen Versionen

(dmk)