Sicherheits-Upgrade für PostgreSQL

Die Entwickler des freien Datenbankservers PostgreSQL haben eine neue Version der Software freigegeben, die eine Sicherheitslücke beseitigt. Betroffen sind die Versionen 7.3, 7.4, 8.0 und 8.1. Der Fehler betrifft Anwendungen, die Multibyte-Zeichenketten verarbeiten, beispielsweise UTF8- oder SJIS-kodierte Strings. Unter bestimmten Umständen ist es möglich, in diese Zeichenketten SQL-Kommandos einzubetten, die der Server dann ausführt. Das Verfahren ist als "SQL Injection" bekannt.

Die PostgreSQL-Entwickler haben die Lücke dadurch geschlossen, dass sie den Server nun alle potenziell manipulierten SQL-Abfragen ablehnen lassen. Insbesondere prüft er alle Multibyte-Sequenzen auf Korrektheit und führt Queries mit eindeutig fehlerhaften Sequenzen nicht aus. Quellcode- und Binärversionen der neuen PostgreSQL-Versionen sind auf der Website erhältlich. (ck)