Open Source im professionellen Einsatz

PostgreSQL: Drei Sicherheitslücken

PostgreSQL ist eines der am weitesten verbreiteten freien objektrelationalen Datenbankmanagementsysteme, das seit 1997 stetig weiterentwickelt wird. In PostgreSQL wurden kürzlich mehrere Schwachstellen entdeckt und korrigiert. Diese erlaubten es einem entfernten Angreifer sich unberechtigt an der Datenbank anzumelden, Passwörter anderer Benutzer einzusehen und auch Objekte der Datenbank zu modifizieren.

Diese Sicherheitslücken gehen auf drei verschiedene Programmierfehler in PostgreSQL zurück. Das erste Problem entsteht durch einen Fehler in der Authentifizierung-Routine von PostgreSQL. Es tritt auf, wenn die »libpg«-Bibliothek verwendet wird. In diesem Fall kann sich der Angr»eifer einfach mit einem leeren Passwort am System anmelden. Der zweite Fehler tritt im Zusammenhang mit dem pg_user_mappings catalog view« auf. Durch dieses Problem kann der Angreifer die Passwörter anderer Datenbankbenutzer einsehen. Die letzte Schwachstelle wird durch einen Programmierfehler in der »lo_put()«-Funktion ausgelöst. Dadurch kann ein Angreifer Objekte der Datenbank manipulieren und so Denial-of-Service-Attacken durchführen.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.