PostgreSQL Sicherheitsupdate

Die PostgreSQL Global Development Group hat heute Sicherheitsupdates für alle aktiven Versionen der objekt-relationalen Datenbank PostgreSQL veröffentlicht. Das beinhaltet die Versionen 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 und 7.4.30. Dies sind die letzten Veröffentlichungen für die Versionen 7.4 und 8.0.

Dieses Update enthält einen Sicherheitspatch, der unerlaubte erweiterte Zugriffsrechte durch die Modifikation von "trusted" prozedualen Sprachen verhindert. Desweiteren sind einige kleinere Fixes enthalten.

Die Anwender der prozedualen Sprachen PL/perl und PL/tcl und SECURITY DEFINER sollten ihre Installationen sofort aktualisieren. Alle anderen Datenbankadministratoren sind dringend angehalten, ihre PostgreSQL Version im nächsten angesetzten Wartungsfenster zu updaten.

Das Sicherheitsproblem erlaubt es gewöhnlichen SQL Anwendern mit dem Recht zum Nutzen von prozedualen Sprachen, die Inhalte von Funktionen in prozedualen Sprachen zur Laufzeit zu verändern. Wie in CVE-2010-3433
ausgeführt wird, kann ein angemeldeter Nutzer erweiterte Zugriffsrechte erlangen, indem eine SECURITY DEFINER Funktion ausgenutzt wird. Das bloße Vorhandensein einer prozedualen Sprache macht die
Datenbankanwendung nicht unsicher.

Dieses Release enthält eine Reihe Aktualisierungen der Dokumentation und 130 Bugfixes.
Die Release Notes enthalten eine komplette Liste und Details der Änderungen.

Quelle: German PostgreSQL User Group