Umgehung von Sicherheitsbestimmungen möglich

Mehrere Lücken in PostgreSQL Datenbank entdeckt

Insgesamt drei Lücken werden für die Open-Source Datenbank PostgreSQL gemeldet. Sie ermöglichen die Umgehung von Sicherheitsbestimmung sowie DoS-Attacken.

Mit Hilfe des Befehls „RESET SESSION AUTHORIZATION“ innerhalb von Indexfunktionen können sich Angreifer erweiterte Benutzerrechte verschaffen. Dieser Fehler tritt in Version 7.4.26 und zahlreichen Version 8.x Varianten von PostgreSQL auf. Die zweite Schwachstelle ist auf einen Fehler in der LDAP Implementierung zurückzuführen und erlaubt das Umgehen von Sicherheitsbestimmungen. Dieser Fehler tritt in den Versionen 8.2 und 8.3 von PostgreSQL auf.

Die dritte Sicherheitslücke erlaubt die Durchführung einer Denial-of-Service Attacke: PostgreSQL in den Versionen 8.2, 8.3 und 8.4 erlaubt das Laden von Bibliotheken aus dem Ordner „$libdir/plugins“. Durch nachträgliches Laden der Bibliotheken kann die PostgreSQL Datenbank zum Absturz gebracht werden. Für Version 8.x existieren bereits Patches, die die beschriebenen Lücken beseitigen. Anwendern von PostgreSQL Version 7 wird empfohlen, auf Version 8 umzusteigen. (vgw)