„Freie softwäjhr ist sicher“ des tages

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken […] Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt […] Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten

Also los, holt euch die neue versjon, wenn ihr postgresql im einsatz habt! Klar, bei heise im sommermodus hat mal wieder ein praktikant geschrieben, der gar nicht richtig klar gemacht hat, was das für ein fehler ist und wie man den ausnutzen kann. (Das problem liegt darin, dass die besagte libpq sich um die autentifikazjon kümmert, und dabei auch den sonderfall „kein passwort“ abfängt, nicht der datenbanksörver. Wenn man kohd hat, der diese bibliotek nicht benutzt, sondern direkt mit dem datenbanksörver kommuniziert, und wenn ein benutzer auf inaktiv gesetzt wurde, indem sein passwort auf NULL gesetzt wurde, dann tritt der fehler auf. Ich würde mich niemals darauf verlassen, auf der sicheren seite zu sein, weil meine anwendungen die bibliotek benutzen. Wenn ein angreifer über eine andere schwachstelle in irgendeiner anwendung kohd ausführen kann, ist er eventuell ganz schnell DBA.

Die frage, was für ein kraut die entwickler geraucht haben müssen, um eine autentifizierungsschwäche in einer bibliotek zu umgehen, statt sie im sörver zu fixen, müsst ihr den entwicklern stellen.