Tag-Archive for » Datenbank «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

PostgreSQL 9.6 ist soeben erschienen

postgresqlEntwickler können sich freuen: Nur wenige Monate nach der ersten Beta ist nun die finale Version der Open-Source-Datenbank PostgreSQL 9.6 erschienen. Die offensichtlichste Neuerung in dieser Version ist die Einführung von parallelen Queries:

Dabei können sequenzielle Scans bei strikten Read-only-Abfragen genauso parallelisiert ablaufen wie Aggregatfunktionen und Hash Joins. Weil diese parallele Ausführung (noch) nicht standardmäßig erfolgt, müssen Anwender sie zunächst erst einmal aktivieren.

Zur Kontrolle dient dabei der Parameter max_parallel_workers_per_gather in der Konfigurationsdatei, dessen Standardwert 0 bedeutet, dass keine Parallelisierung erfolgt.

Weil jeder Prozess eigene Ressourcen beansprucht, kann ein zu hoher Wert die Performance beeinträchtigen. So können zum Beispiel vier Arbeitsprozesse die benötigte CPU-Zeit, die Speicherauslastung und auch die benutzte  I/O-Bandbreite bis zu verfünffachen.

Auch das Backup-Tool Barman erschien als neue Version 2.o und sichert jetzt auch in Docker-Container und auf Windows.

Weitere Details finden Sie in der offiziellen Bekanntmachung der Veröffentlichung von PostgreSQL 9.6 und in den Release Notes der neuen Version. Auf der Download-Seite gibt es neben den Quellcodes auch Binaries für Windows, OS X, Solaris und zahlreiche Linux-Varianten zum Herunterladen.

Günstige SSD Samsung 750 Evo beschleunigt Client und Server

Für den Arbeitsplatzrechner hat es sich schon herumgesprochen, aber auch Internetserver können durch den Einsatz von Halbleiter-Festplatten um mehr als eine Größenordnung beschleunigt werden.

Gerade wenn man auf dem Internetserver Anwendungen fährt, die häufig auf die Festplatte zugreifen müssen (typischerweise Datenbank-Anwendungen), ist die SSD schon länger das Mittel der Wahl, die Auslieferung der Seiten zu beschleunigen.

Dem kommt auch die neue Einstiegsserie SSD 750 Evo von Samsung, die die teureren 850 Evo und 850 Pro ersetzt. Die 2,5-Zoll-Laufwerke der 750-Evo-Reihe sollen bald in Kapazitäten von 120, 250 und 500 GByte zu kaufen sein. Die Anbindung ans System erfolgt per 6-GBit/s-SATA-Schnittstelle. Als Cache dienen 256 MByte DRAM.

Die unverbindlichen Preisempfehlungen liegen für das 120-GByte-Modell bei 65 Euro, für die 250-GByte-Version bei 89 Euro und bei 159 Euro für die 500-GByte-Version. Online ist die mittlere Variante schon ab rund 70 Euro erhältlich.

Extrem schnelle NoSQL-Datenbank ScyllaDB

Wer als Webentwickler bei schnellen Antwortzeiten mit großen Datenbanken umgehen muss, sollte mal einen Blick auf die neue NoSQL-Datenbank ScyllaDB werfen.

Im Rahmen des Cassandra-Summit stellten die Entwickler mit Scylla ihre „schnellste spaltenorientierte NoSQL-Datenbank der Welt“ vor. Die unter der GNU Affero General Public License v3 geschützte Open-Source-Datenbank soll den Durchsatz stark verbessern und dabei mit sehr niedrigen Latenzen wie Redis aufwarten.

Weil ScyllaDB kompatibel zu Apache Cassandra ist, soll ein Wechsel zwischen den beiden Systemen außerdem recht einfach durchzuführen sein. Aktuell hat das Projekt den Status einer frühen Beta, das erste stabile Release ist für Januar 2016 avisiert.

Hinter ScyllaDB verbirgt sich ein Team, das schon für die Entwicklung des KVM Hypervisor verantwortlich zeichnete. Die NoSQL-Datenbank ist Ergebnis seiner Arbeiten als Cloudius Systems, allerdings hat sich das Unternehmen mittlerweile in ScyllaDB umbenannt.

Apache Cassandra diente als Vorlage und ScyllaDB soll auch eine schnellere Alternative dafür positioniert. Cassandra ist in Java verfasst und wird als eine Art Hybrid zwischen spaltenorientierter Datenbank und Key-Value-Speicher angesehen.

Javascript-Engine Chakra unter Windows 10 für alle Anwendungen

Das haben sich viele Programmierer gewünscht, und Microsoft erfüllt den Wunsch nun endlich: Die Javascript-Engine Chakra, die mit HTML, CSS und JavaScript geschriebene Browser-Anwendungen in Windows 10 ausführt, kann unter dem kommenden Windows Programme auch außerhalb des Browsers ablaufen lassen.

Chakra kann unter Windows 10 sowohl in klassischen Win32-Programmen als auch in Verbindung mit Universal Windows Applications. Die geänderten APIs unterstützen die Universal Windows Platform (UWP) sowie ECMAScript 6 nativ und werden in einem Blogbeitrag der Entwickler im Detail beschrieben.

Bisher ließ sich Chakra außerhalb des Browsers nur für besondere serverseitige Anwendungsfälle in Verbindung mit Microsoft-Produkten wie Outlook.com und DocumentDB, Microsofts eigener NoSQL-Datenbank auf Azure nutzen.

Screenshot: thewindowsclub.com

 

Exploit für phpMoAdmin im Netz

Zur Nutzung einer weit geöffneten Zero Day-Lücke in der Datenbankverwaltung phpMoAdmin der MongoDB kann man jetzt für 3.000 Dollar einen funktionierenden Exploit kaufen, mit dem man Code in die Systeme einschleusen kann.

Über 40.000 Internetseiten, die die MongoDB nutzen sind durch den Zero Day Exploit ernsthaft gefährdet.

MongoDB gehört zu den führenden NoSQL-Datenbanken und ist als Open Source-Projekt kostenlos erhältlich. Durch die Datenverarbeitung im Speicher mit superschnellen Reads und Writes statt auf einer langsamen Festplatte ist MongoDB hoch performant und wird quer in allen Industriebereiche für alle möglichen performancehungrigen Datenbankanwendungen genutzt.

Auch das Verwaltungsprogramm phpMoAdmin ist ein in PHP geschriebenes Open Source-Programm, das man bis zur Schließung der Lücke besser aus dem System entfernen sollte. Zur Verwaltung der Datenbank stehen auch andere Programme wie beispielsweise RockMongo, MongoVue, Mongo-Express, UMongo oder Genghis zur Verfügung.

Apache Big Data Project stellt HBase 1.0 vor

HBaseWer Aufgaben im Big Data-Bereich erledigen muss, sollte sich die nach sieben Jahren Entwicklungsarbeit jetzt vorgestellte Hadoop-Datenbank HBase 1.0 der Apache Software Foundation ansehen.

Es handelt sich um eine verteilte NoSQL-Datenbank nach dem Prinzip von Googles BigTable-Technik, die vorrangig im Kontext von Hadoop- und HDFS-Anwendungen (Hadoop File System) zum Einsatz kommt – deshalbn auch als die Datenbank schlechthin für das Big-Data-Framework bezeichnet wird.

Sie kann mit verteilt liegenden Tabellen von Milliarden von Datensätzen uns Millionen von Spalten in Echtzeit sehr performant umgehen. Unternehmen wie Facebook, eBay, Salesforce und Yahoo, die ja sehr große Datenmengen verarbeiten müssen, setzen auf HBase – vielleicht auch für Ihr Projekt?

Eine Entwicklungsumgebung für DB PostgreSQL im Browser

Die relationale Open-Source Datenbank PostgreSQL findet immer mehr Freunde. Mit PostgreSQL Studio 1.0 hat Open SCG jetzt eine Open Source-Entwicklungsumgebung vorgestellt, die im Browser läuft.

Die Entwicklungsumgebung ist selber Open-Source-Software und steht unter der PostgreSQL-Lizenz. Mit PostgereSQL Studio 1.0 können Anwender jetzt ihre Datenbank im Browser verwalten und durchsuchen.

postgrestudio_screen-1024x738

Die Anwendung kommt mit einer Oberfläche, die für kurze Lade- und Antwortzeiten AJAX benutzt. Sie bietet den sicherer Zugang zur Datenbank über HTTPS, einen Query-Editor mit Syntax-Highlighting und Assistenten zum Erzeugen von Wizards.

MySQL 5.6 RC mit besserer InnoDB-Engine

Zur MySQL-Connect-Konferenz in San Francisco hat Oracle eine Release Candidate-Version der Datenbank MySQL 5.6 herausgebracht und zum Download bereitgestellt..

Die Hauptänderung in dieser Version betrifft eindeutig die Datenbank-Engine InnoDD, für die fehlende Funktionen wie zum Beispiel die Volltextsuche nachgelegt wurden. Volltextsuche in MySQL gab es bisher nur mit nicht transaktionsfähigen ISAM-Tabellen.

Auch der Durchsatz mit InnoDB-Tabellen wurde merklich verbessert. Beim Lesen wurde die Geschwindigkeit verdoppelt und beim Schreiben sogar vervierfacht. Auf der MySQL-Internetseite findet man eine übersichtliche Beschreibung der Neuerungen in MySQL 5.6. RC.