Die PostgreSQL-Entwickler haben eine neue Version der Software freigegeben, die eine Sicherheitslücke beseitigt. Betroffen sind die Versionen 7.3, 7.4, 8.0 und 8.1. Der Fehler betrifft Anwendungen, die Multibyte-Zeichenketten verarbeiten, beispielsweise UTF8- oder SJIS-kodierte Strings.
Unter bestimmten Umständen ist es möglich, in diese Zeichenketten SQL-Kommandos einzubetten, die der Server dann ausführt. Das Verfahren ist als „SQL Injection“ bekannt.
Die PostgreSQL-Entwickler haben die Lücke dadurch geschlossen, dass sie den Server nun alle potenziell manipulierten SQL-Abfragen ablehnen lassen. Insbesondere prüft er alle Multibyte-Sequenzen auf Korrektheit und führt Queries mit eindeutig fehlerhaften Sequenzen nicht aus. Quellcode- und Binärversionen der neuen PostgreSQL-Versionen sind auf der Website erhältlich.
Hinterlasse jetzt einen Kommentar