Wochennotiz 2025.19

Die Schiedsrichter der österreichischen Fußball-Bundesliga wurden in den letzten Wochen vermehrt zur Zielscheibe und so gab es diese Woche eine Aktion, die dafür Bewusstsein schaffen sollte, dass Schiedsrichter kein Feinbild sind.

Ich werde den "Hass" auf Schiedsrichter nie verstehen können. Einerseits hat man es meist, trotz (vermeintlicher) Fehlentscheidungen von Schiedsrichtern, in der eigenen Hand ein Spiel für sich zu entscheiden. Andrerseits würde es ohne Schiedsrichter überhaupt kein Spiel geben.

Kritik ist erlaubt, aber jeder Mensch verdient es respektvoll behandelt zu werden. In diesem Sinne hoffe ich, die Aktion der Bundesliga trägt Früchte und es gibt in Zukunft mehr Respekt für die Personen, ohne die kaum eine Sportveranstaltung über die Bühne gehen würde: Schiedsrichterinnen und Schiedsrichter.

Diese Woche gab es aber nicht auch einige neue Postgres-Versionen. Unter anderem auch die erste Beta-Version von Postgres 18.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Neue Postgres-Versionen veröffentlicht

Neben der ersten Beta-Version Postgres 18, sind auch einige Minor-Releases der unterstützten Postgres-Versionen veröffentlicht worden.

The PostgreSQL Global Development Group has released an update to all supported versions of PostgreSQL, including 17.5, 16.9, 15.13, 14.18, and 13.21. This release fixes 1 security vulnerability and over 60 bugs reported over the last several months.

PostgreSQL 17.5, 16.9, 15.13, 14.18, and 13.21 Released!

Asynchronous I/O in Postgres 18

Lukas Fittl widmet sich in seinem Beitrag Waiting for Postgres 18: Accelerating Disk Reads with Asynchronous I/O den Performance-Implikationen von Asynchronous I/O.

To summarize, the upcoming release of Postgres 18 marks the beginning of a major evolution in how I/O is handled. While currently limited to reads, asynchronous I/O already opens the door to significant performance improvements in high-latency cloud environments.

Highlights in Postgres 18

Heikki Linnakangas beschreibt in seinem Blog-Beitrag Postgres 18 Beta Is Out: 7 Features You Should Know About einige interessante Neuerungen in Postgres 18.

Eine sehr spannende Geschichte dabei ist OAuth:

One last highlight: Postgres 18 also adds a new oauth authentication method. This allows clients to authenticate using OAuth 2.0 tokens, with validation handled via a plugin interface. You configure it in pg_hba.conf like other auth methods, and load token validators using the new oauth_validator_libraries setting. This adds an extensible option for integrating with identity providers.

pgai Vectorizer

Der pgai Vectorizer von Timescale war bisher "nur" als Extension verfügbar.

We knew we needed to make pgai Vectorizer more accessible without compromising its seamless Postgres integration. The solution? Repackaging our core functionality as a Python CLI (command-line interface) and library that can work with any Postgres database while maintaining the same robustness and "set it and forget it" simplicity.

We Listened: Pgai Vectorizer Now Works With Any Postgres Database

Übernahme von Neon?

Wie Upstarts berichtet, gibt es Gespräche von Databricks um Neon zu übernehmen.

Databricks is in advanced talks to acquire startup Neon, a maker of an open-source database engine, four sources tell Upstarts exclusively. Databricks is expected to pay in the ballpark of $1 billion for Neon, two of the sources say.

Der Preis ist schon nicht so schlecht für eine Firma, die noch so jung ist. Dazu kann man den Gründern nur gratulieren.

Man darf allerdings sehr gespannt sein, was eine Übernahme für die weiteren Entwicklungen im Postgres-Umfeld bedeuten würde.

Scoop: Databricks In Talks To Acquire Startup Neon For About $1 Billion

30 Jahr MySQL

Lindsay Clark widmet MySQL zum Geburtstag einen längeren Beitrag:

Regardless of PostgreSQL's challenge, MySQL's legacy is assured for its role in the LAMP stack, which saw the explosion of social media and consumer sites take over the world from the early Noughties. Schumacher recalls one startup CEO saying at the time that he wouldn't have a business without MySQL.

Ohne MySQL wäre auch ich wohl nie bei Postgres gelandet. In diesem Sinne: Alles Gute zum Geburtstag :-)

30 years of MySQL, the database that changed the world

Postgres Release Monitor

• external_file v1.2 has been released

Security und Privacy

Linux-Desktop macht Probleme

Wie Liam Proven berichtet, hat man sich bei SUSE dazu entschlossen, den Desktop Deepin aus openSUSE zu entfernen.

According to the SUSE Security Team, though, DDE's beauty is only skin deep. Beneath the polished surface, it's not pretty at all. The team enumerates a whole list of problems, including claimed abuses of D-Bus and Polkit, but also some very poor design decisions. Some of these represent major security holes in the dde-api-proxy module, which are covered in depth here. The team has also publicly reported issues with Deepin's D-Bus services and the Deepin clone tool.

openSUSE deep sixes Deepin desktop over security stink

Backdoor in Ecommerce-Software

Wie es scheint, wurden viele Shops Opfer einer Lücke, die schon jahrelang existiert, und erst jetzt "aktiviert" worden ist.

Multiple vendors were hacked in a coordinated supply chain attack, Sansec found 21 applications with the same backdoor. Curiously, the malware was injected 6 years ago, but came to life this week as attackers took full control of ecommerce servers. Sansec estimates that between 500 and 1000 stores are running backdoored software.

Backdoor found in popular ecommerce components

US-Administration und Signal

Letzte Woche wurd berichtet, dass die US-Regierung einen Signal-Klon für die Kommunikation verwendet hat. Hier scheint es nun aber gelungen zu sein, Datensätze abzugreifen:

Wie 404 Media erklärt, ist es dem anonymen Angreifer gelungen, Direktnachrichten und Inhalte aus Gruppenchats einzusehen, die über TeleMessage versendet beziehungsweise empfangen wurden. Zwar seien keine von US-Kabinettsmitgliedern dabei, aber das Magazin durfte solche einsehen, die darauf hindeuten, dass sie aus einer Gruppe im US-Kongress stammen, die über ein Gesetzesvorhaben debattieren. Andere stammen offenbar aus der US-Grenzschutzbehörde, von der Kryptobörse Coinbase und einer Bank.

Signal-Affäre: In US-Regierung benutzter modifizierter Messenger wurde geknackt

Data breach ticker

• Cyberangriff trifft großen Medienkonzern

AI

cURL und die AI-Reports

Schon vor einiger Zeit habe ich einen Artikel zum Frust von Daniel Stenberg über AI generierte Bug-Reports verlinkt. Nun hat wohl ein Beitrag das Fass zum Überlaufen gebracht:

We now ban every reporter INSTANTLY who submits reports we deem AI slop. A threshold has been reached. We are effectively being DDoSed. If we could, we would charge them for this waste of our time.

We still have not seen a single valid security report done with AI help.

Curl: We still have not seen a valid security report done with AI help

Immer mehr Halluzinationen?

Wenn man dem Artikel Neue Generationen von ChatGPT liefern immer mehr Halluzinationen glaubt, dann wird es immer schlimmer:

Schon bald nach Auftauchen der KI-Chatbots haben sich Kritiker über Halluzinationen lustig gemacht, in denen die Tools Tatsachen und Sachverhalte frei erfinden, aber als Wahrheit verkaufen. Das Problem: Was manche als Kinderkrankheit abtun wollten, wird im fortgeschrittenen Alter nicht auskuriert – es wird vielmehr schlimmer.

Diverses

Skype ist endgültig tot

Ich kann mich noch erinnern, nach der pgconf.eu in Tallinn, ist mir am Flughafen die Werbung für Skype aufgefallen. War so etwas wie Nationalstolz. Und jetzt ist Skype Geschichte.

Skype war eine großartige Idee für das Internet, nun ist es tot

Am Montag war es schließlich so weit: Microsoft hat die Skype-App und die dazugehörigen Dienste offiziell eingestellt. Bereits im Februar hatte das Unternehmen angekündigt, der altehrwürdigen App den Stecker zu ziehen. Stattdessen sollen die verbliebenen Nutzerinnen und Nutzer auf die hauseigene Kollaborationssoftware Teams wechseln.