Datenbank-Server PostgreSQL: Lücke lässt Anmeldung ohne Passwort zu

Administratoren, die PostgreSQL-Datenbanken betreiben, sollten ihre Software updaten. Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Datenbank-Server PostgreSQL: Lücke lässt Anmeldung ohne Passwort zu

Der Elephant ist das Maskottchen der PostgreSQL-Software.

(Bild: Calle v H, CC BY 2.0)

Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken, die mit neuen Versionen für alle unterstützten Versionszweige der Software geschlossen wurden. Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt. Die Bibliothek fungiert als Basis vieler PostgreSQL-Datenbanktreiber; wird allerdings ein Treiber benutzt, der nicht auf libpq basiert, kann man den Bug missbrauchen, um sich ohne Passwort anzumelden.

Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten. Alle drei Sicherheitslücken und mehr als fünfzig weitere, nicht sicherheitskritische Bugs wurden mit den neuen Versionen PostgreSQL 9.6.4, 9.5.8, 9.4.13, 9.3.18 und 9.2.22 behoben. Weitere Informationen finden sich in der Release-Veröffentlichung der Entwickler. (fab)