Af Torben B. Sørensen, 15/08/17
Databasesystemet PostgreSQL har fjernet to sårbarheder relateret til passwords og en i forbindelse med brugertilladelser.
Den alvorligste sårbarhed giver brugere mulighed for at logge ind med et tomt password.
En anden sårbarhed giver mulighed for, at passwords lækkes til uautoriserede brugere. Udviklerne har tidligere forsøgt at lukke sikkerhedshullet, men rettelsen var ikke fuldstændig effektiv.
Den sidste sårbarhed giver enhver bruger mulighed for at ændre på data i et stort objekt. Det skyldes, at brugerens privilegier ikke bliver kontrolleret.
Fejlene er rettet i version 9.6.4, 9.5.8, 9.4.13, 9.3.18 og 9.2.22. PostgreSQL gør opmærksom på, at de i september holder op med at understøtte version 9.2.
Anbefaling
Opdater til en rettet version.
Links
- E.1. Release 9.6.4, PostgreSQL Release Notes
- Password Flaws Patched in PostgreSQL, artikel fra SecurityWeek
- Leaky PostgreSQL passwords plugged, artikel fra The Register