Sicherheits-Upgrade für PostgreSQL

Die PostgreSQL-Entwickler haben eine neue Version der Software freigegeben, die eine Sicherheitslücke beseitigt. Betroffen sind die Versionen 7.3, 7.4, 8.0 und 8.1. Der Fehler betrifft Anwendungen, die Multibyte-Zeichenketten verarbeiten, beispielsweise UTF8- oder SJIS-kodierte Strings.

Unter bestimmten Umständen ist es möglich, in diese Zeichenketten SQL-Kommandos einzubetten, die der Server dann ausführt. Das Verfahren ist als “SQL Injection” bekannt.

Die PostgreSQL-Entwickler haben die Lücke dadurch geschlossen, dass sie den Server nun alle potenziell manipulierten SQL-Abfragen ablehnen lassen. Insbesondere prüft er alle Multibyte-Sequenzen auf Korrektheit und führt Queries mit eindeutig fehlerhaften Sequenzen nicht aus. Quellcode- und Binärversionen der neuen PostgreSQL-Versionen sind auf der Website erhältlich.

Quelle: http://www.heise.de/security/news/meldung/73471

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*