Sicherheitsupdate für PostgreSQL

Zwei Bugs in der freien relationalen Datenbank PostgreSQL erlaubten Nutzern das Lesen und Schreiben beliebiger Dateien. Sie sind mit den heute veröffentlichten Updates für die Versionen 9.1.5, 9.0.9, 8.4.13 und 8.3.20 geschlossen worden. Betroffen sind die von libxml2 und libxslt bereitgestellten XML- und XSLT-Funktionen.

Details zu den als CVE-2012-3488 (libxslt) und CVE-2012-3489 (libxml2) registrierten Fehlern sind spärlich. Offenbar geht es jedoch nicht um die Bibliotheken selbst, sondern um deren Anbindung durch PostgreSQL. Einige Hinweise finden sich in den Release-Notes zu Version 9.1.5. So erlaubte es die XML-Lücke offenbar, die Existenz von Dateien zu ermitteln und in Einzelfällen Teile von ihnen anzuzeigen.

Die Entwickler verweisen in diesem Zusammenhang auf eine bereits im Oktober 2011 geschlossene Lücke in der Browser-Engine Webkit und auf einen Anfang 2012 behobenen Fehler in PHP 5. In beiden Fällen war libxslt auf unsichere Art angebunden, so dass Nutzer durch manipulierte XSLT-Stylesheets Dateien anlegen konnten.

Die jetzige Fehlerbeseitigung in PostgreSQL schaltet sowohl die eingebaute Funktion zur Prüfung externer DTDs (Document Type Description) ab als auch die Funktion xslt_process(). Mit ihr konnten Dokumente oder Stylesheets von externen URLs geladen werden.

In das Update der aktuellen Version 9.1 haben die Entwickler gleichzeitig weitere Änderungen und Korrekturen einfließen lassen. Sie betreffen unter anderem Zeitzonen, die Dokumentation sowie das Python-und Perl-Scripting.

Die PostgreSQL-Entwickler empfehlen allen Nutzern, das Update so bald wie möglich zu installieren. Ein komplettes Entladen der Datenbank per pg_dump sollte in der Regel nicht nötig sein. (ck)