Datenbank-Server PostgreSQL: Lücke lässt Anmeldung ohne Passwort zu

Administratoren, die PostgreSQL-Datenbanken betreiben, sollten ihre Software updaten. Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken, die mit neuen Versionen für alle unterstützten Versionszweige der Software geschlossen wurden. Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt. Die Bibliothek fungiert als Basis vieler PostgreSQL-Datenbanktreiber; wird allerdings ein Treiber benutzt, der nicht auf libpq basiert, kann man den Bug missbrauchen, um sich ohne Passwort anzumelden.


Quelle: heise