Wochennotiz 2025.08

Eine Woche, die (wieder) eine neue Postgres-Version gebracht hat. Aber auch interessante Beiträge zum Thema Performance.

Google hat auf den russischen Versuch Signal-User zu kompromittieren aufmerksam gemacht.

Für mich persönlich war es eine Woche, wo wir eine am Freitag noch eine Präsentation gut über die Runden gebracht haben. Die Daten dafür waren erst kurz davor fertig berechnet worden. Das bedeutet, es war durchaus stressig. Trotzdem ist es mir gelungen, die Balance zwischen Stress und Erholung gut zu halten.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Postgres Release

Wie bereits letzte Woche angekündigt, gab es diese Woche einen neuen Postgres-Release

Improve behavior of quoting functions in libpq. The fix for CVE-2025-1094 caused the quoting functions to not honor their string length parameters and, in some cases, cause crashes. This problem could be noticeable from a PostgreSQL client library, based on how it is integrated with libpq.

Fix small memory leak in pg_createsubscriber.

PostgreSQL 17.4, 16.8, 15.12, 14.17, and 13.20 Released!

Parallel Queries

Brian Pace hat einen interessanten Beitrag verfasst, der erklärt, warum manchmal keine parallele Ausführung von Abfragen gemacht wird. Zusätzlich hat er auch eine mögliche Lösung präsentiert:

One solution that we have implemented with customers is a retry function. This function mirrors the behavior of Oracle’s Parallel Query Statement Queuing. The function will check for a certain percentage of parallel workers to be available before executing the desired statement. If there are no workers available, the function will sleep and recheck for a specified period of time.

Postgres Parallel Query Troubleshooting

Mehr Ressourcen, mehr Leistung?

Lætitia Avrot beschreibt in einem lesenswerten Blog-Beitrag, wie Postgres mit mehr und mehr Ressourcen umgeht und welche Probleme es trotzdem gibt. Vor allem ein Punkt in ihrer Erzählung gefällt mir, als Anhänger von einfachen Dingen, sehr gut :-)

These incredible hardware capabilities might allow us to simplify our architectures significantly. Instead of managing complex distributed systems, we could potentially handle massive workloads on a single, well-tuned PostgreSQL instance. The prospect is exciting. It means fewer moving parts, simpler maintenance, and possibly more predictable performance.

Postgres in the time of monster hardware

Postgres Release Monitor

• pgroll 0.9.0 update
• Pgpool-II 4.6 beta1 is now released
• SQLPage v0.33: Build Custom UIs, and now APIs — All in SQL!

Security und Privacy

Apple hebt Verschlüsselung im Vereinigten Königreich auf

Das Vereinigte Königreich geht seit einiger Zeit einen fragwürdigen Weg:

Die im Januar 2025 erteilte Weisung hätte den britischen Sicherheitsdiensten Zugriff auf verschlüsselte Daten von Nutzern in allen Ländern gewährt, nicht nur innerhalb der Gerichtsbarkeit des Vereinigten Königreichs.

Apple hat sich daher entschieden, einen anderen Weg zu gehen:

Die britische Regierung hat von Apple Zugang zu verschlüsselten Daten für ihre Strafverfolgungsbehörden gefordert. Dem will Apple nicht nachkommen und schaltet stattdessen die Advanced Data Protection (ADP) ab

Apple entfernt erweiterte iCloud-Sicherheit in UK

Es ist nicht gut, wenn alles mit dem Internet verbunden ist

Dylan Ayrey beschreibt in einem Beitrag, wie er herausgefunden hat, dass sein Bett (!) ein Backdoor hatte.

Auch wenn ich mich nicht als Security professional sehe, kann ich der Aussage nur zustimmen:

Security professionals are, in my experience, exhausted of things being connected to the internet that don’t need to be. Tired of their stove, car, washing machine, and bed all being internet connected.

Was meint er mit Backdoor?

What goes too far in my opinion, is allowing all of Eight Sleep’s engineers to remotely SSH into every customer’s bed and run arbitrary code that bypasses all forms of formal code review process.

Zumal es sich bei dem fraglichen SSH-Key um einen allgemeinen Key des Herstellers handelt, den scheinbar sehr viel Engineers nutzen können. Was könnte das schon schiefgehen?

Removing Jeff Bezos From My Bed

Signal als Ziel

Wie Dan Black in einem Beitrag berichtet, hat die Google Threat Intelligence Group (GTIG) vermehrt russische Aktivitäten festgestellt, um Signal-Accounts von Personen zu kompromittieren.

Signal's popularity among common targets of surveillance and espionage activity—such as military personnel, politicians, journalists, activists, and other at-risk communities—has positioned the secure messaging application as a high-value target for adversaries seeking to intercept sensitive information that could fulfil a range of different intelligence requirements.

Wie haben die Russen das angestellt?

The most novel and widely used technique underpinning Russian-aligned attempts to compromise Signal accounts is the abuse of the app's legitimate "linked devices" feature that enables Signal to be used on multiple devices concurrently. Because linking an additional device typically requires scanning a quick-response (QR) code, threat actors have resorted to crafting malicious QR codes that, when scanned, will link a victim's account to an actor-controlled Signal instance.

Grundsätzlich kann man wohl davon ausgehen, dass die Angriffe auf Signal zunehmen werden. War ja schon bisher ein Dorn im Auge der Sicherheitsbehörden.

Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger

Elon-Wahnsinn

Ob es direkt in Zusammenhang mit dem ganzen DOGE-Wahnsinn steht, kann man nicht sagen, aber es scheint so, als ob der Wirrkopf Elon jetzt auf Twitter Links zu Signal blockieren lässt:

X, formerly Twitter, is blocking users from posting a “Signal.me” link through DM, public post, or even in their profile page. When trying to post a Signal link, users receive a variety of different “message failed” prompts depending on what version of the X platform they use (i.e. X for web, X for iPhone, etc.)

Gut, grundsätzlich bin ich ja der Meinung, wer sich heutzutage noch auf Twitter herumtreibt, der muss sehr hart im Nehmen oder ein Wirrkopf sein. Aber trotzdem sollte man auch den Wahnsinn von solchen Plattformen anprangern.

Elon Musk’s X blocks links to Signal, the encrypted messaging service.

In den USA soll es eine Anordnung geben, die Ladestationen für Elektroautos vor Bundesgebäuden wieder entfernen soll.

Der Präsidentenberater Elon Musk zeigt sich davon wenig beeindruckt, was möglicherweise auch daran liegt, dass die Abschaffung der Ladesäulen keinen negativen Einfluss auf die Supercharger-Ladeinfrastruktur seines Autokonzerns Tesla hat.

Da kann man nur froh sein, dass man Berater hat, die frei von eigenen Interessen handeln.

US-Regierung lässt Elektroauto-Ladestationen aus Bundesgebäuden entfernen

Lücken-Ticker

Diese Woche eröffnen wir mit Juniper und einem schönen auth bypass: Juniper patches critical auth bypass in Session Smart routers

Juniper Networks has patched a critical vulnerability that allows attackers to bypass authentication and take over Session Smart Router (SSR) devices.

Citrix will da nicht untätig bleiben und ermöglich eine Ausweitung der Rechte: Citrix Netscaler ermöglicht Rechteausweitung

In einer weiteren aktuellen Sicherheitsmitteilung warnt Citrix zudem vor Sicherheitslücken im Secure Access Client für Mac. Beide Schwachstellen beschreibt Citrix als: "Angreifer können die Rechte der Anwendung ergattern, um (begrenzte) Veränderungen vorzunehmen und/oder beliebige Daten zu lesen." Einmal geht das auf einen "fehlerhaften Schutzmechanismus" zurück (CVE-2025-1222, CVSS 5.9, mittel), die andere Lücke hingegen auf ein "unkontrolliertes Suchpfad-Element" (CVE-2025-1223, CVSS 5.9, mittel).

Und bei OpenSSH können unter bestimmten Umständen Angreifer mit Man-in-the-Middle-Attacken erfolgreich sein: Sicherheitsupdate OpenSSH: Angreifer können sich in Verbindungen einklinken

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Data breach ticker

• Australian fertility services giant Genea hit by security breach
• 15 GB von Gesundheitsdaten auf dem Flohmarkt entdeckt. Auf einer 500 GB HDD für 5€: Hundreds of Dutch medical records bought for pocket change at flea market
• Stalkerware apps Cocospy and Spyic are exposing phone data of millions of people

Diverses

fly-to-podman

Über einen Thread auf Hacker News (Fly To Podman: a script that will help you to migrate from Docker) wurde ich auf ein Script aufmerksam, das bei der Transformation von Docker zu Podman unterstützt. Die Projektbeschreibung:

fly-to-podman is a small bash script that helps you migrate from Docker to Podman. It will migrate your Docker containers, images, and volumes to Podman, as well as keep your container data and configurations (mounts, ports, etc.) intact.

fly-to-podman