Software::Datenbanken
Angekündigtes PostgreSQL-Sicherheits-Update verfügbar
Das vor zwei Tagen angekündigte Update, das eine schwerwiegende Sicherheitslücke in PostgreSQL schließt, ist erschienen. Die Lücke stellt sich als belanglos für die meisten Benutzer heraus, die den Server mit minimalen Sicherheitsmaßnahmen installiert haben.
PostgreSQL
Vor zwei Tagen überraschte das PostgreSQL-Projekt seine Anwender mit der Ankündigung, eine schwerwiegende Sicherheitslücke entdeckt zu haben, und die zugehörige Korrektur nicht öffentlich zu machen, bis getestete neue Versionen zum Update bereitstehen. Wie angekündigt hat das Projekt jetzt die entsprechenden
Updates freigegeben und auch die Sicherheitslücke genau erklärt.
Die Lücke, die in einem FAQ noch etwas ausführlicher beleuchtet wird, ist im wesentlichen ein Denial of Service auf den relationalen Datenbankserver. Ein Angreifer, der auf den Server direkten Zugriff hat, kann Dateien des Servers korrumpieren, wodurch das Programm abstürzen kann und danach auch nicht mehr startet. Allerdings gehen keine Daten verloren. Das Problem entsteht durch das Anhängen von Text an Daten-Dateien. Es lässt sich beheben, indem man die Dateien editiert oder ein Backup einspielt.
Üblicherweise sollten X-beliebige Personen aus dem Internet aber keinen Zugriff auf den Server besitzen. PostgreSQL wird normalerweise entweder in einem lokalen Netz eingesetzt, wo nur eine begrenzte Benutzergruppe Zugriff hat, oder auf einem Server im Internet, wo nur lokale Anwendungen zugreifen dürfen und es ein Leichtes ist, entsprechende Beschränkungen zu definieren. Gefährdet sind somit nur Server, bei denen von diesen Fällen abgewichen wurde.
In speziellen Fällen könnte ein Angreifer durch die Lücke erweiterte Rechte erhalten: Falls er nicht nur Zugriff, sondern auch ein gültiges Benutzer-Login für PostgreSQL besitzt, und Benutzer- und Datenbankname gleich sind, dann kann er eine Konfigurationsvariable mit den Rechten des Superusers ändern, jedoch nur temporär. Wenn der Angreifer zusätzlich Rechte hat, Dateien irgendwo im Dateisystem des Servers zu speichern, könnte er beliebigen C-Code hochladen und ausführen. SELinux würde dies allerdings verhindern.
Betroffen sind laut dem PostgreSQL-Team die Versionen 9.0, 9.1 und 9.2. Updates wurden jedoch auch für Version 8.4 bereitgestellt. Die Updates korrigieren neben der erläuterten Lücke zwei geringfügigere Sicherheitslücken, zwei Lücken im grafischen Installationsprogramm und eine Reihe weiterer Fehler.
Die Sicherheitslücke wurde von Mitsumasa Kondo und Kyotaro Horiguchi vom NTT Open Source Software Center entdeckt, als sie einen Audit des Quellcodes durchführten. Sie taten das offenbar im Rahmen der Arbeit, die NTT zur Entwicklung und Pflege des Datenbanksystems beiträgt. Die Lücke war dem PostgreSQL-Team intern seit dem 12. März bekannt, und es wurde beschlossen, den Quellcode mit den Korrekturen zunächst geheim zu halten, um niemandem die Möglichkeit zu geben, Schaden anzurichten. Mit Hilfe von Red Hat wurde am 27. März eine CVE-Nummer für die Lücke beantragt. Das PostgreSQL-Team bedauert, dass es nicht in der Lage war, wichtige Benutzer vorab zu informieren, hofft aber, dass dies künftig einmal möglich wird.
){kind=logo}
