PostgreSQL: Sicherheits-Update 2012-08-17 veröffentlicht

Das PostgreSQL-Entwicklerteam hat Sicherheits-Updates für die Datenbankserver-Software zur Verfügung gestellt. Aktualisierungen gibt es für alle aktiven Versionen: 9.1.5, 9.0.9, 8.4.13 and 8.3.20. Die Updates kümmern sich um Sicherheitslücken in den Bibliotheken libxml2 und libxslt. Davon sind übrigens auch andere Open-Source-Projekte betroffen. Im Detail handelt es sich um die Security-Probleme CVE-2012-3488 (libxslt) und CVE-2012-3489 (libxml2).

Die neueste Ausgabe bringt außerdem einige Fixes für Version 9.1. Interessierte finden diese detailliert in der offiziellen Ankündigung. Wer die eingebaute XML-Funktionalität braucht, um externe DTDs zu validieren, muss einen Workaround implementieren. Das Sicherheits-Update deaktiviert diese Funktionalität. Wer xslt_process() benutzt, um Dokumente von externen URLs einzuladen, kann das auch nicht mehr tun. Das PostgreSQL-Team entschuldigt sich für die Deaktivierung der beiden Funktionen, aber aus Sicherheitgründen sei das notwendig. Die Entwickler verweisen darauf, dass die XML-Probleme ähnlich zu denen sind, die auch kürzlich in Webkit (CVE-2011-1774), XMLsec (CVE-2011-1425) und PHP5 (CVE-2012-0057) adressiert wurden.

Wie bei anderen kleineren Updates, müssen Anwender die Datenbank nicht neu laden oder pg_upgrade benutzen, um zu aktualisieren. Ein Herunterfahren von PostgreSQL, die Binärpakete ersetzen und die ist laut eigener Aussage ausreichend. Du findest die neuesten Versionen von PostgreSQL auf der Download-Seite des Projekts. Es stehen unter anderem Versionen für FreeBSD, OpenBSD, Red Hat, CentOS, Fedora (RPM-basierte Distributionen), Debian, Ubuntu, openSUSE, Mac OS X, Solaris und Windows.