Wochennotiz 2025.30
Posted on So 27 Juli 2025 in Blog
Diese Woche hatte ich eine Dienstreise nach Vorarlberg. Mehrere Termine standen am Programm.
Bei der Rückreise mit dem Zug habe ich mich gefragt, wie man einen Zug in diesem Zustand losschicken kann. Der Zug verkehrt von Zürich nach Graz und ist damit durchaus einige Zeit lang unterwegs, beträgt die Fahrzeit laut ÖBB doch 9 Stunden und 34 Minuten.
Die Suche nach einem WC hat sich schwierig gestaltet. In die eine Richtung gab es nach einigen Waggons eines, aber über dessen Zustand hüllen wir eher den Mantel des Schweigens. Später habe ich es dann auch noch in die Gegenrichtung versucht und da bin ich dann zumindest fündig geworden.
Wenn ich mich nicht verzählt habe, dann waren in diesen 8 Waggons 2 (!) WCs nicht defekt/gesperrt. Eine unterirdische Quote. Zumal die Meisten wohl schon beim Start defekt waren, da ein schönes "Außer Betrieb"-Schild an ihrer Türe angebracht war.
Leider wirbt man so nicht um die Gunst der Reisenden.
Positiv sollte man hier erwähnen, der Zug war zumindest streckenweise sehr gut gefüllt und man sieht, Zugreise werden durchaus angenommen.
Inhalt:
Postgres und die Datenwelt
Postgres Queues
RudderStack zeigt in einem Beitrag, wie sie Postgres-Queues skaliert haben. Der Beitrag selbst beinhaltet einige Details, daher empfehle ich jedem den Beitrag genauer zu lesen. Aber zumindest Teile des Fazits sollte man jedenfalls zitieren:
Despite the complexities and challenges encountered, PostgreSQL has consistently demonstrated its power and flexibility, proving to be a robust and highly capable platform for our demanding queuing workloads.
Lessons from scaling PostgreSQL queues to 100k events per second
PostgreSQL Global Development Group (PGDG)
Laurenz Albe wirft einen Blick auf die PGDG und welchen Personenkreis diese umfassen kann:
I couldn't find an official definition, so here is mine: the PostgreSQL Global Development Group is the group of people who contribute in any way to the PostgreSQL software and its quality. Naturally, that includes the people who write code for the PostgreSQL database management system. But — at least in my understanding — the PGDG also includes many other people
Die komplette Liste findet sich in seinem Beitrag. Aber wie man sieht, ist es nicht ganz so einfach. Zumindest die Definition. Bei der Teilnahme schaut es schon anders aus:
The PGDG is no exclusive society, but something you can be a part of whenever you want. There are many ways to contribute to make PostgreSQL better, and these are not limited to development: perhaps this list of possible volunteer activities can inspire you.
Postgres-Automatisierung
Nikolay Samokhvalov hat sich angesehen, in welchen Bereichen sich welcher Grad der Automatisierung von Postgres erreichen lässt
Some of them are very well automated. Moreover, open-source components for such automation achieved maturity:
Patroni (just celebrated 10 years since the beginning of development) gives a very solid solution for HA
WAL-G and pgBackRest for backups (though you still need to add monitoring pieces and testing pipelines)
Data Modeling Tips
Im Beitrag Postgres to ClickHouse: Data Modeling Tips V2 machen sich die Autoren Gedanken darüber, wie man am besten Daten von Postgres nach Clickhouse transferieren kann.
You can implement Postgres CDC to ClickHouse using PeerDB, an open-source replication tool, or leverage a fully integrated experience in ClickHouse Cloud with ClickPipes. Since Postgres and ClickHouse are different databases, an important aspect alongside replication is effectively modeling tables and queries in ClickHouse to maximize performance.
Wobei man meiner Erfahrung nach wirklich sagen muss, oftmals kann man aus Postgres sehr viel herausholen hinsichtlich OLAP-Queries bzw. Nutzung.
Postgres Release Monitor
Security und Privacy
Sharepoint Drama
Microsoft hat letzte Woche einen Patch für eine Lücke in Sharepoint bereitgestellt. Allerdings schaut es trotzdem nicht gut aus (Angriffe auf Microsoft Sharepoint: Patchen ist nicht genug)
Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.
Aber nicht nur, dass die Lücke davor schon aktiv ausgenutzt worden ist. Sie wird jetzt in größerem Umfang aktiv attackiert (Surprise, surprise: Chinese spies, IP stealers, other miscreants attacking Microsoft SharePoint servers):
At least three Chinese groups are attacking on-premises SharePoint servers via a couple of recently disclosed Microsoft bugs, according to Redmond.
Two of the crews behind the zero-day attacks are government-backed: Linen Typhoon (aka Emissary Panda, APT27) and Violet Typhoon (aka Zirconium, Judgment Panda, APT31), Microsoft's threat intel team wrote in a Tuesday blog.
Auch bei The Record (Chinese nation-state groups exploiting SharePoint vulnerability, Microsoft confirms) wird darüber berichtet:
“It's critical to understand that multiple actors are now actively exploiting this vulnerability,” Carmakal said. “We fully anticipate that this trend will continue, as various other threat actors, driven by diverse motivations, will leverage this exploit as well."
Reuters reported on Tuesday that more than 100 organizations were affected by attacks through the vulnerabilities, which Microsoft was allegedly informed of in May. The bugs were discovered at a competition in Berlin by a cybersecurity official at Vietnamese military-owned telecom Viettel, and the researcher received a $100,000 bounty for finding them.
Eines der Opfer ist die US-Nuklearbehörde (US-Nuklearbehörde über Microsoft Sharepoint angegriffen). Aber keine Angst, sie nutzen die Microsoft-Cloud. Okay, vielleicht in diesem Fall wirklich nicht ganz so schlecht:
Wie Bloomberg von einer mit der Angelegenheit vertrauten Person, die um Anonymität bat, erfahren haben will, sollen bei dem Vorfall nach bisherigem Kenntnisstand keine vertraulichen oder geheimen Informationen abgeflossen sein. Ein Sprecher des Energy Departments versicherte zudem, die Behörde sei aufgrund der umfassenden Nutzung der Microsoft-Cloud und sehr leistungsfähiger Cybersicherheitssysteme "nur minimal betroffen".
Microsoft und die digitale Souveränität
Microsoft hat diese Woche eingestehen müssen, das mit dem Zugriff auf die Daten ist so eine Sache:
So wirbt etwa Microsoft gern mit dem Begriff "Datensouveränität" und einer Art europäischen Cloud, die garantiere, dass keine Daten in die USA oder andere Regionen gelangen.
Dass dieses Versprechen, freundlich formuliert, lückenhaft (oder weniger freundlich: irreführend) ist, haben Kritikerinnen und Kritiker immer wieder angemerkt. Nun bestätigt das aber jemand, der sehr genau weiß, wovon er spricht: Anton Carniaux, Chefjustiziar von Microsoft Frankreich, gesteht bei einer Anhörung im französischen Parlament, dass er einen Zugriff von US-Behörden auf EU-Daten nicht vollständig ausschließen kann.
Microsoft gesteht: USA könnten sich Zugriff auf EU-Daten in der Cloud verschaffen
GrapheneOS
Bei LWN gibt es einen ausführlichen Beitrag zu GrapheneOS: Graphene OS: a security-enhanced Android build
The storage scopes feature can put apps into a sandbox where they believe they have full access to the device's shared storage, but they can only access the files they have created themselves. There is also a contact scopes feature that allows apps to believe they have full access to the owner's contacts, while keeping most or all of that data hidden from those apps.
GrapheneOS supports fingerprint unlocking, just like normal Android, with one difference: after five consecutive failures, the fingerprint feature is disabled for 30 minutes. An owner being forced to supply a finger to unlock a device can thus disable that functionality quickly by using an unrecognized finger. For those whose privacy needs are more stringent, a duress PIN can be configured; entering that PIN causes the device to immediately wipe all of its data. Needless to say, this self-destruct feature should be used with care.
Cisco
Ähnlich der Sharepoint-Geschichte, gibt es auch etwas von Cisco:
Threat actors have actively exploited a newly patched vulnerability in Cisco's Identity Services Engine (ISE) software since early July, weeks before the networking giant got around to issuing a fix.
That's according to the Shadowserver Foundation, a nonprofit organization that scans and monitors the internet for exploitation. The company’s CEO, Piotr Kijewski, told The Register on Thursday that it had observed signs of exploitation "of what we believe is CVE-2025-20281 around July 5th."
Kijewski added that the Shadowserver Foundation has observed a "few more exploitation attempts" since that time.
The bug in question, rated 10 out of 10 on the CVSS scale, is a remote code execution flaw that lurks in the web-based management interface of Identity Services Engine (ISE), Cisco's network access control system.
No login? No problem: Cisco ISE flaw gave root access before fix arrived, say researchers
Amazon's Q AI coding assistant
Coding-Assistenten erfreuen sich einer gewissen Beliebtheit. Umso erschreckender ist was Amazon passiert ist:
It started when a hacker successfully compromised a version of Amazon's widely used AI coding assistant, 'Q.' He did it by submitting a pull request to the Amazon Q GitHub repository. [...] The real problem was that this potentially dangerous update had somehow passed Amazon's verification process and was included in a public release of the tool earlier in July.
Hacker slips malicious 'wiping' command into Amazon's Q AI coding assistant - and devs are worried
Data breach ticker
AI
Proton veröffentlicht Chat
Proton veröffentlicht einen Chat, der ihrer Strategie und dem Schutz der Privatsphäre folgen soll:
Like all Proton services, Lumo was built around privacy, security, and transparency. In contrast to other companies working on AI, Proton doesn’t make money by selling your data. We’re supported exclusively by our community, not advertisers, and our base in privacy-friendly Europe gives us the legal protections to ensure that we can live up to our promises. Most important, we are owned by the nonprofit Proton Foundation, whose sole mission is to advance privacy and freedom.
Introducing Lumo, the AI where every conversation is confidential
Diverses
Vector-Tiles für OpenStreetMap.org
Die Umsetzung war einiges an Arbeit, aber die OpenStreetMap hat jetzt Vector-Tiles:
Now, with integration of the vector tiles as a feature layer on the OpenStreetMap website, mappers and visitors get a visual layer that is sharper and quicker, based on an entirely new backend.
A major benefit of vector tiles is adaptability, so developers can leverage this vector source to develop their own styles based on the existing Shortbread styles or write a new one and use the new OSMF-hosted tiles.
Vector Tiles are deployed on OpenStreetMap.org
Österreicher holt sich Gold bei der Mathe-Olympiade
Gratulation an alle Medaillengewinner. Immer wieder beeindruckend, was Leute erreichen können.
In die Liste der Goldmedaillengewinner konnte sich nun auch der Grazer Schüler Valentin Glatz eintragen, als erster Österreicher seit 15 Jahren, als das Kunststück Felix Dräxler gelang. Glatz war mit einer heimischen Delegation im australischen Sunshine Coast bei der 66. IMO mit dabei. Nachdem er vergangenes Jahr im englischen Bath noch eine Silbermedaille erreicht hatte, errechnete er dieses Mal 36 von 42 Punkten, was für eine Goldmedaille reichte. Daneben gewann Jan Strehn eine Silbermedaille, während William Shi, André Tremetsberger und Mihail Grecu Bronzemedaillen erreichten. Die vier gehen in Wien zur Schule. Dinmukhamed Yegeubayev, der in Salzburg die Schule besucht, wurde mit einer lobenden Erwähnung gewürdigt.
Österreicher holt Gold bei der Mathe-Olympiade und sticht dabei Google-KI aus