Wochennotiz 2025.07

Eine Woche, die ein paar Änderungen bringt. Einerseits habe ich mich entschlossen eine neue Domain zu nutzen. Hier sollte die Weiterleitung hoffentlich automatisch funktionieren.

Ansonsten hat die Woche auch noch einen neuen Minor-Release von Postges gebracht. Dieser Release behebt eine Sicherheitslücke, die scheinbar schon für einen größeren Exploit ausgenutzt worden ist.

Außerdem gibt es weiteren DOGE-Wahnsinn.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Postgres Release

Diese Woche ist ein neuer Minor-Release von Postgres veröffentlicht worden. Der Release schließt eine Sicherheitslücke und behebt über 70 Bugs. Siehe dazu auch die Release Notes von PostgreSQL 17.3.

Allerdings gibt es auch dieses Mal, schon die Ankündigung für einen Out-of-cycle release:

The PostgreSQL Global Development Group is planning for an out-of-cycle release on February 20, 2025 to address a regression that was released as part of the February 13, 2025 update release, which included release 17.3, 16.7, 15.11, 14.16, and 13.19. As part of this release, we will issue fixes for all supported versions (17.4, 16.8, 15.12, 14.17, 13.20). While these fixes may not impact all PostgreSQL users, PostgreSQL Global Development Group determined that it would be better to address these sooner than the next scheduled release on May 8, 2025.

The fix for CVE-2025-1094, which closed a vulnerability in the libpq PostgreSQL client library, introduced a regression related to string handling for non-null terminated strings. The error would be visible based on how a PostgreSQL client implemented this behavior, and may not impact all PostgreSQL drivers. As a precaution, the PostgreSQL Global Development Group opted for a follow up release.

If you are impacted by this issue, we advise to consider waiting for the availability of 17.4, 16.8, 15.12, 14.17, and 13.29 before upgrading.

Sergiu Gatlan berichtet bei BleepingComputer, die Sicherheitslücke wurde offensichtlich auch schon ausgenutzt (PostgreSQL flaw exploited as zero-day in BeyondTrust breach):

Rapid7's vulnerability research team says attackers exploited a PostgreSQL security flaw as a zero-day to breach the network of privileged access management company BeyondTrust in December.

[...]

While analyzing CVE-2024-12356, the Rapid7 team uncovered a new zero-day vulnerability in PostgreSQL (CVE-2025-1094), which was reported on January 27 and patched on Thursday. CVE-2025-1094 allows SQL injections when the PostgreSQL interactive tool reads untrusted input, as it incorrectly processes specific invalid byte sequences from invalid UTF-8 characters.

Wohin mit dem Komma?

Die Diskussion, wo man am besten das Komma stellt, ist schon sehr alt. Es gibt Leuten die bevorzugen Komma vor den Spalten:

SELECT

COL_1

, COL_2 FROM table

Und es gibt Leute, die bevorzugen das Gegenteil:

SELECT

COL_1,

COL_2 FROM table

Oftmals geht es in diesen Diskssionen auch, wie man leichter debuggen kann. Bei einem Komma danach kann es durchaus schnell zu Syntaxfehlern kommen.

Für diesen Aspekt bringt Peter Eisentraut neue Aspekte in die Diskussion ein. Er hat sich Gedanken gemacht, was es brauchen würde, damit ein Komma nach dem letzten Spalte eine korrekte Syntax wäre. Seine Gedanken und Ideen beschreibt er in seinem Posting How about trailing commas in SQL?

Scaling Postgres

Ein großes Diskussionsthema ist immer wieder "Wie kann man Postgres skalieren". Shayon Mukherjee beschreibt in einem Blog-Beitrag, wie es unterschiedliche Lösungsansätze direkt in der Datenbank selbst gibt, um zu skalieren. Klassiker sind dabei natürlich Foreign Keys

My simple take is - While Foreign Keys are great at upholding data integrity, their impact on performance, migrations, and system complexity is hard to ignore. So, take a moment to ponder your database schema. Are all those constraints pulling their weight, or could shedding a few lighten your system’s load?

Aber es werden auch weitere interessante Punkte erwähnt: Beispielsweise Vertical vs Horizontal Scaling oder Index Bloat.

Scaling with PostgreSQL without boiling the ocean

OSS Optimizer

Bei Hacker News gab es diese Woche eine Diskussion zu PgAssistant: OSS tool to help devs understand and optimize PG performance. Der Beschreibung von der Website nach hört es sich um ein interessantes Tool an:

PgAssistant is an open-source tool designed to help developers understand and optimize their PostgreSQL database performance. It provides insights into database behavior, identifies schema-related issues, and assists in correcting them.

Da auch einen LLM-Helper angeboten wird, gab es bie Hacker News dann auch noch eine Diskussion, wie gut LLMs bei diesen Problemen helfen können.

Postgres Release Monitor

• PGroonga 4.0.0 - Multilingual fast full text search
• Citus 13.0 Released!

Security und Privacy

E-Mail-Adressen bringen Geld

Im Beitrag Leaking the email of any YouTube user for $10,000 wird schön beschrieben, wie man den Google-Mechanismus Gaia ID umgehen kann und zu Inforationen über die Personen kommt.

Und wie man dann auch noch die Google-Dienste so ausnutzen kann, dass der Ansatz skaliert.

Jedenfalls ein sehr lesenswerter Beitrag.

DOGE-Wahnsinn

Bereite letzte Woche habe ich den DOGE-Wahnsinn erwähnt. Diese Woche gibt es aber weitere Berichte, die einem die Haare zu Berge stehen lassen.

Bei KrebsOnSecurity gibt es einen schockierenden Beitrag (Teen on Musk’s DOGE Team Graduated from ‘The Com’) zu Teilen der Elon Boyband.

Einer der Burschen hat wohl eine fragwürdige Vergangenheit:

As today’s story explores, the DOGE teen is a former denizen of ‘The Com,’ an archipelago of Discord and Telegram chat channels that function as a kind of distributed cybercriminal social network for facilitating instant collaboration.

Und ein anderer der Jungs hat wohl folgendes der Welt mitgeteilt:

“Just for the record, I was racist before it was cool,” the account posted in July. “You could not pay me to marry outside of my ethnicity,” the account wrote on X in September. “Normalize Indian hate,” the account wrote the same month, in reference to a post noting the prevalence of people from India in Silicon Valley.

Bruce Schneier beschreibt in seinem Beitrag DOGE as a National Cyberattack DOGE folgerndermaßen:

In the span of just weeks, the US government has experienced what may be the most consequential security breach in its history—not through a sophisticated cyberattack or an act of foreign espionage, but through official orders by a billionaire with a poorly defined government role. And the implications for national security are profound.

Die Dummheit bzw. Skrupellosigkeit im Umgang mit Daten zeigt auch folgendes:

Over at OPM, reports indicate that individuals associated with DOGE connected an unauthorized server into the network. They are also reportedly training AI software on all of this sensitive data.

Jon Brodkin berichtet bei Ars Technica (“Largest data breach in US history”: Three more lawsuits try to stop DOGE) darüber, dass es mittlerweile einige Gruppen gibt, die vor Gericht versuchen diesen Wahnsinn zu stoppen:

Three new complaints seek court orders that would stop the data access and require the deletion of unlawfully accessed data. Two of the complaints also seek financial damages for individuals whose data was accessed.

The US DOGE Service, Elon Musk, the US Office of Personnel Management (OPM), and OPM Acting Director Charles Ezell were named as defendants in one suit filed yesterday in US District Court for the Southern District of New York.

Lücken-Ticker

Solarwinds meldet sich wieder einmal (Solarwinds: Update schließt teils kritische Lücken in Platform). Und schaut wieder nach Qualitätsarbeit aus:

Für die gravierendsten Sicherheitslücken zeichnet das mitgelieferte OpenSSL verantwortlich. Eine Schwachstelle erlaubt unter gewissen, eher selten anzutreffenden Umständen das Lesen von Daten über einen Puffer hinaus, wodurch Angreifer auf sensible Daten zugreifen können. Die OpenSSL-Entwickler haben die Lücke daher als niedriges Risiko eingestuft. Offenbar verwendet Solarwinds OpenSSL jedoch auf die verwundbare Art und Weise, sodass die Schwachstelle CVE-2024-5535 von den Entwicklern einen CVSS-Score von 9.1 und damit eine Risikoeinstufung als "kritisch" erhält.

Ohne Fortinet (Fortinet: Angriffe auf Schwachstellen laufen, Updates für diverse Produkte) wäre der Lücken-Ticker auch sehr langweilig. Denn was kann schon schiefgehen bei Sicherheitssoftware mit NodeJS?

Die bereits attackierte Sicherheitslücke betrifft FortiOS und FortiProxy, Fortinet hat damit eine Sicherheitsmitteilung aus dem Januar aktualisiert. Die dreht sich um eine Umgehung der Authentifizierung im Node.js-Websocket-Modul (CVE-2024-55591, CVSS 9.6, Risiko "kritisch"). Neu hinzugekommen ist nun der Eintrag CVE-2025-24472, CVSS 8.1, "hohes" Risiko. Der Hersteller erklärt, dass Angreifer aus dem Netz dadurch Super-Admin-Rechte erlangen können, indem sie manipulierte Anfragen an das Node.js-Websocket-Modul oder präparierte CSF-Proxy-Anfragen senden.

Microsoft beteiligt sich auch am Spiel (Schwerwiegende LDAP-Lücke gefährdet Windows-Systeme)

Die LDAP-Lücke ist als CVE-2025-21376 registriert und erreicht mit einem CVSS-Wert von 8,1 einen hohen Schweregrad. Dass kein höherer CVSS erreicht wird, liegt vor allem an der als hoch eingestuften Angriffskomplexität, die Microsoft damit begründet, dass ein Angreifer für eine erfolgreiche Ausnutzung eine Race-Condition gewinnen muss.

Data breach ticker

• Hacker leaks account data of 12 million Zacks Investment users
• Chinese hackers breach more US telecoms via unpatched Cisco routers

AI

Keine Zukunft für generative KI?

Eva-Maria Weiß berichtet bei Heise von einem Vortrag von Yann LeCun (Metas KI-Chef: Yann LeCun glaubt nicht an die Zukunft generativer KI)

"Eine häufige Krankheit in einigen Kreisen des Silicon Valley: ein unangebrachter Überlegensheitskomplex." Dazu gehöre die Annahme, man habe das Monopol auf gute Ideen. Wenn jemand anders eine gute Idee habe, sei das "Symptom im Endstadium", dass man davon ausgehe, dass diese Idee durch Betrug gewonnen wurde. Bei LeCun heißt das oberste Ziel nicht AGI, sondern AMI – Advanced machine intelligence. [...] Generative KI basiere auf Vorhersagen. Dadurch kann man kein Weltenwissen aufbauen, sagt LeCun. Skalierung hält er schon lange für den falschen Weg und erklärt als Beispiel: "Man kann nicht vorhersagen, wie ein Raum ausschaut, man kann nicht wissen, was in einem Raum steht."

LeCun gilt ja durchaus als streitbare Persönlichkeit, aber die Einblicke und Ansichten sind durchaus spannend.

AI Hacking

Dan Goodin berichtet von einem neuen Fall von promt injection.

The result of Rehberger’s attack is the permanent planting of long-term memories that will be present in all future sessions, opening the potential for the chatbot to act on false information or instructions in perpetuity.

Der Bericht liest sich sehr spannend und Johann Rehberger scheint sehr gut darin zu sein, die Sicherheitsmechanismen der einzelnen Hersteller zu umgehen.

New hack uses prompt injection to corrupt Gemini’s long-term memory

Zusammenfassen von Nachrichten

BBC hat eine Studie durchgeführt und meheree Chat-Bots miteinander verglichen. Die Resultate sind, sagen wir, ausbaufähig:

But which chatbot performed worst? "34 percent of Gemini, 27 percent of Copilot, 17 percent of Perplexity, and 15 percent of ChatGPT responses were judged to have significant issues with how they represented the BBC content used as a source," the Beeb reported. "The most common problems were factual inaccuracies, sourcing, and missing context."

AI summaries turn real news into nonsense, BBC finds

Diverses

Die erste echte Professorin

Lukas Wieselberg berichtet über die erste echte Professorin: Anna Tumarkin.

Die russisch-jüdische Philosophin Tumarkin hingegen war die erste „echte“ Professorin, sagt die Historikerin Franziska Rogger: „1909 wurde sie an der Universität Bern zur außerordentlichen Professorin ernannt. Damit war sie die erste Professorin Europas mit vollen akademischen Rechten, d. h. sie durfte Prüfungen abnehmen und im Senat und in der Fakultät mitwirken.“ Zum Vergleich: In Österreich war es die Romanistin Elise Richter, die 1921 an der Uni Wien als Erste den Titel eines außerordentlichen Universitätsprofessors erhielt.

Anna Tumarkin war mir bisher nicht bekannt, daher finde ich es umso schöner, wenn man so eine schöne Geschichte niederschreibt und der Welt zugänglich macht.

Leseempfehlung: Die erste echte Professorin