PostgreSQL: Sicherheits-Update 2012-08-17 veröffentlicht

18 August 2012 Kein Kommentar Autor: Jürgen (jdo)

PostgreSQL Logo 150x150Das PostgreSQL-Entwicklerteam hat Sicherheits-Updates für die Datenbankserver-Software zur Verfügung gestellt. Aktualisierungen gibt es für alle aktiven Versionen: 9.1.59.0.98.4.13 and 8.3.20. Die Updates kümmern sich um Sicherheitslücken in den Bibliotheken libxml2 und libxslt. Davon sind übrigens auch andere Open-Source-Projekte betroffen. Im Detail handelt es sich um die Security-Probleme CVE-2012-3488 (libxslt) und CVE-2012-3489 (libxml2).

Die neueste Ausgabe bringt außerdem einige Fixes für Version 9.1. Interessierte finden diese detailliert in der offiziellen Ankündigung. Wer die eingebaute XML-Funktionalität braucht, um externe DTDs zu validieren, muss einen Workaround implementieren. Das Sicherheits-Update deaktiviert diese Funktionalität. Wer xslt_process() benutzt, um Dokumente von externen URLs einzuladen, kann das auch nicht mehr tun. Das PostgreSQL-Team entschuldigt sich für die Deaktivierung der beiden Funktionen, aber aus Sicherheitgründen sei das notwendig. Die Entwickler verweisen darauf, dass die XML-Probleme ähnlich zu denen sind, die auch kürzlich in Webkit (CVE-2011-1774), XMLsec (CVE-2011-1425) und PHP5 (CVE-2012-0057) adressiert wurden.

Wie bei anderen kleineren Updates, müssen Anwender die Datenbank nicht neu laden oder pg_upgrade benutzen, um zu aktualisieren. Ein Herunterfahren von PostgreSQL, die Binärpakete ersetzen und die ist laut eigener Aussage ausreichend. Du findest die neuesten Versionen von PostgreSQL auf der Download-Seite des Projekts. Es stehen unter anderem Versionen für FreeBSD, OpenBSD, Red Hat, CentOS, Fedora (RPM-basierte Distributionen), Debian, Ubuntu, openSUSE, Mac OS X, Solaris und Windows.



Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren


Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten