Wochennotiz 2025.28
Posted on So 13 Juli 2025 in Blog
Woran merkt man die Bekanntheit eines Podcasts? Wenn NordVPN das Sponsoring übernimmt, dann hat man offensichtlich eine gewisse Größe erreicht. Laut Wikipedia werden von NordVPN 350 Millionen Euro im Jahr für Werbung ausgegeben.
Ich persönlich habe NordVPN noch nie verwendet und kann daher nichts zum Dienst selbst sagen. Und mit Mullvad VPN und ProtonVPN bin ich mehr als zufrieden. Machen beide das, was ich benötige.
Wobei man generell bei VPNs immer aufpassen muss, was das Ziel bei der Nutzung ist. Traue ich meinem VPN-Anbieter mehr, als meinem eigenen Internetanbieter? Aber das ist Thema für einen anderen Beitrag.
Inhalt:
Postgres und die Datenwelt
Atlassian Migration von einigen Millionen Datenbanken
In einem Blogbeitrag teilt Atlassian ihren Weg der Migration ihrer Postgres-Datenbanken zu AWS Aurora.
Following the advice from AWS, we built a tool to orchestrate our business-as-usual database migration tool, but on steroids: the number of databases we needed to move to reach file count targets was in the millions, and we didn’t want to waste any time. We analysed our tenant distributions and prioritised the smallest tenants with the least usage, to reduce the amount of data we’d need to migrate (and therefore increase our throughput). At peak, our tool averaged 38,000 daily migrations with a peak of nearly 90,000 – a hefty scale-up on its usual 1,000! All of this, and while still meeting our high reliability targets.
Migrating the Jira Database Platform to AWS Aurora
Optimal Query plan
Tomas Vondra hat sich in seinem Beitrag So why don't we pick the optimal query plan? angesehen, welche Effekt der Postgres-Parameter random_page_cost hat.
Der default-Wert ist noch aus älteren Zeiten und kann durchaus angepasst werden, was zu einer größeren Nutzung von Index-Scans führen kann.
Aber am Ende des Tages, kann es immer wieder nicht optimale Querypläne geben:
Ultimately, there’s only so much we can do in the optimizer. It makes decisions based on a very simplified approximation of the data set, and so it’s bound to make mistakes. And we’re not making its task any simpler by adding more and more options to the executor. Every option to run a query differently means an opportunity to make a mistake.
Postgres-Uptime in der Cloud
In einem Bericht bei The Register (Users of PostgreSQL in the cloud say the uptime just ain't up to it) wird über die Uptime in der Cloud berichtet:
Tech professionals surveyed said unexpected downtime delayed business operations or workflows (56 percent). Others cited damage to brand trust (40 percent), experienced support spikes (49 percent), and required emergency remediation (47 percent). No respondents said there had been no impact.
GeoArrow und GeoParquet
Kyle Barron teilt in einem Interview seine Ansichten zu GeoArrow und GeoParquet:
GeoParquet 1.1 introduced support for spatial partitioning. This makes it possible to fetch only specific rows of a file according to a spatial filter.
Interview with Kyle Barron on GeoArrow and GeoParquet, and the Future of Geospatial Data Analysis
Postgres Release Monitor
Security und Privacy
Supabase MCP
Auch im Security-Bereich gibt es diese Woche etwas zu Datenbanken. Und zwar hat Supabase Probleme mit ihrem Model Context Protocol (MCP):
These queries are issued using the service_role, which bypasses all RLS restrictions. To the developer, they appear as standard tool calls—unless manually expanded, they’re indistinguishable from the legitimate queries that came before.
Once executed, the leaked data is immediately visible in the support thread. The attacker, still viewing the ticket they opened, simply refreshes the page and sees a new agent-authored message containing the secret data:
Supabase MCP can leak your entire SQL database
Patchday
Microsoft schließt einige Lücken:
Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als "kritisch" ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695 "hoch"), SharePoint (CVE-2025-49704 "hoch") und Hyper-V (CVE-2025-48822 "hoch") betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.
Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert.
Patchday: Microsoft schließt 100.000-$-Lücke in SharePoint aus Hacker-Wettbewerb
Werbung für GrapheneOS
Die katalanische Polizei macht offensichtlich Werbung für GrapheneOS:
Das machen sich auch Drogendealer zunutze, weshalb die katalanische Polizei einen Generalverdacht gegenüber den Nutzerinnen und Nutzern der Smartphones hegt und dabei auch noch unfreiwillig Werbung für ein alternatives Betriebssystem macht. "Jedes Mal, wenn wir ein Pixel sehen, denken wir, es könnte ein Drogendealer sein", wird der Leiter der Anti-Drogen-Einheit der Mossos d'Esquadra, der katalanischen Polizei, im spanischen Fachmagazin xatakandroid.com zitiert.
Katalanische Polizei geht gezielt gegen Nutzer von Pixel-Smartphones vor
Spyware Accounts übernommen
Eine nette Geschichte, wie man zu den Accounts einer Spyware-App kommen kann:
Having given up on finding anything sensitive through an unauthenticated API call, I figured I may as well try SQLI, even knowing how long of a shot finding it on a production service in 2025 is. Let’s give it a shot on that same getDevice endpoint:
Well that was easy. And there’s even a non-blind one we can use to dump the database in a reasonable amount of time.
Taking over 60k spyware user accounts with SQL injection
Data breach ticker
AI
Neues LLM
Von der ETH Zürich kommt ein neues LLM:
The model will be fully open: source code and weights will be publicly available, and the training data will be transparent and reproducible, supporting adoption across science, government, education, and the private sector. This approach is designed to foster both innovation and accountability.
A language model built for the public good
Aufkauf und Talentejagd
Die Goldgräberstimmung im AI-Umfeld ist weiterhin ungebrochen:
Zudem zahlt der Konzern für dessen Technologie rund 2,4 Milliarden Dollar (2 Mrd. Euro), berichtete das "Wall Street Journal" am Freitag unter Berufung auf mit der Angelegenheit vertraute Personen. Damit kommt der Konzern seinem Konkurrenten OpenAI zuvor, der ebenfalls an einer Übernahme der Firma interessiert war, wie ein Google-Sprecher am Freitag sagte.
Windsurf-Chef Varun Mohan, Mitgründer Douglas Chen sowie weitere Mitglieder des Entwicklerteams werden zu Googles KI-Sparte DeepMind wechseln, um dort vor allem am Projekt Gemini zu arbeiten. Diese als "Acquihire" bezeichneten Geschäfte, bei denen es primär um die Mitarbeiter und weniger um das Unternehmen selbst geht, sind im Ringen der großen Technologiekonzerne um KI-Fachkräfte üblich geworden und haben bereits die Wettbewerbsbehörden auf den Plan gerufen.
Google übernimmt KI-Startup Windsurf für 2,4 Milliarden Dollar
Aber auch bei Meta ist man weiterhin auf der Suche nach großen AI-Köpfen und ist scheinbar bei Apple fündig geworden:
Apple’s head of AI models, Ruoming Pang, is leaving the company to work at Meta, Bloomberg reported on Monday. This marks the latest high-ranking AI executive Meta CEO Mark Zuckerberg has scooped up to lead his new AI superintelligence unit.
Meta reportedly recruits Apple’s head of AI models
Diverses
Digitale Souveränität
SUSE hat ein neues Support-Programm vorgestellt, das auf eine einzelne Region reduziert ist, statt wer auch immer gerade auf der Welt Dienst hat.
"Digital sovereignty has become a really hot topic in the last half year, and specifically in Europe, where companies feel an increasing need to get things done in-house, in-country, or in-region within Europe, with less dependency on non-European vendors and supply chains and people."
SUSE launching region-locked support for the sovereignty-conscious