Buffer Overflow in Datenbank PostgreSQL
Der Fehler ermöglicht es, beliebigen Code auf den Stack zu schreiben und auszuführen, ist aber in PostgreSQL-Versionen nach 7.3 bereits korrigiert.
Securitytracker meldet in der Open-Source-Datenbank PostgreSQL einen Buffer Overflow. In dem Advisory wird Conectiva zitiert, die festgestellt haben wollen, dass man mit einem Fehler in der Funktion to_ascii() im Modul ascii.c beliebigen Code auf den Stack schreiben und auch ausführen kann. Ist die Datenbank an einen Port (5432/tcp) gebunden, funktioniert der Angriff auch über das Netzwerk. Standardmäßig erfolgt die Kommunikation bei PostgreSQL über lokale Unix-Sockets.
Betroffen sind laut Advisory die Version 7.2 und 7.3, allerdings ist ein entsprechender Patch bereits seit Mitte Juli in neue Stable-Versionen eingeflossen. Wer noch ältere PostgreSQL-Installationen betreibt, sollte den Patch einspielen oder auf eine aktuellere Version, beispielsweise 7.3.4, wechseln. (dab)
