Wochennotiz 2025.03

Posted on So 19 Jänner 2025 in Blog

Die Woche beinhaltet einige spannende Dinge. Postgres wurde als DBMS des Jahres 2024 ausgezeichnet. Wenig später ist die Auszeichnung wieder weggenommen worden und Snowflake überreicht worden.

Im Security-Bereich gibt es auch einige interessante Geschichten. Das FBI hackt PCs, um Malware zu entfernen. Eine Sicherheitsfirma stellt bedenkliche NPM-Pakete online.

Und ich habe es endlich geschafft, den dritten und letzten Teil der Breitbandanalyse zu veröffentlichen: Open Data mit Postgres und Postgis (Teil 3).

Inhalt:

Postgres und die Datenwelt

Temporäre Tabellen

Jobin Augustine schreibt bei Percona über Probleme mit temporären Tabellen. So beschreibt er einerseits die Probleme, die im Systemcatalog durch temporäre Tabellen entstehen können.

Generally, I expect all the catalog information of a typical PostgreSQL instance to be around 20 MB. The size depends on the number of objects in the database. Databases with many objects (tables, indexes, etc.), such as large numbers of partitioned tables with many partitions, are expected to have a bigger catalog. But if the size is way too big than expected, it should ring alarms.

Ein weiterer sehr interessanter Punkt sind die Log-Dateien, die durchaus sehr groß werden können:

Yet another side effect of using temporary tables is that it might flood the PostgreSQL log with DDLs. Most production systems will have the parameter setting log_statement=’ddl’ or other means of DDL auditing. This will cause all the temporary table creations to be logged into PostgreSQL logs. The end result is substantial log files that are difficult to analyze.

What Hurts in PostgreSQL Part One: Temporary Tables

Ein Vergleich von Query-Plans

Andrei Lepikhov setzt sich mit dem Vergleich der Implementierung von Query-Plans auseinander. Denn er wollte seine Optimierungen mit denen eines Papers vergleichen. Aber wie sehr oft, gibt es Probleme mit der Reproduzierbarkeit von Papern:

The execution time measurements they provided differed significantly due to unclear details regarding the experimental setup and instance settings. I had often encountered research reports that were almost impossible to reproduce, and the current case led me to discover how we could compare query plans and optimisation effectiveness using dimensionless criteria.

Aber nicht nur das bringt Herausforderungen. Auch die Vergleichbarkeit der Tests am eigenen Rechner sind nicht immer so einfach:

For instance, I've conducted ten consecutive runs of all 113 Join Order Benchmark (JOB) tests, and I've observed a typical spread in execution time of up to 50% on my desktop (see the picture below) - even under optimal conditions with all experiment parameters are meticulously controlled. This raises a crucial question: how much deviation might an external researcher encounter if they attempt to repeat the experiment, and how should they analyse the results?

Er regt eine Diskussion an, ob es nicht auch sinnvoll sein kann, auch andere Metriken (z.B. page read) in die Benchmarks zu inkludieren.

Whose optimisation is better?

Snowflake ist das DBMS des Jahres 2024

Zuerst wurde Postgres ausgezeichnet. Siehe auch den Thread bei Hacker News: PostgreSQL is the Database Management System of the Year 2024.

Dann gab es ein Update. Dort war Postgres dann auf dem zweiten Platz und Snowflake die Nummer 1. Gratulation an Snowflake zum Sieg.

DB-Engines is today announcing that Snowflake is our DBMS of the Year for 2024, the third time it has claimed the top spot having previously been ranked first place in 2021 and 2022.

Der dritte Sieg in vier Jahren. Zeigt durchaus die steigende Popularität von Snowflake.

Snowflake is the Database Management System of the Year 2024

dbt Labs übernimmt SDF Labs

Wie üblich bei diesen Übernahmen gibt es nur Gewinner. Wie üblich sollte man gespannt sein, denn die Versprechen klingen (wie immer) sensationell:

SDF will be a massive upgrade to the very heart of the dbt user experience moving forward. It will enable faster dbt project compilation (~2 orders of magnitude), amazing developer experience (think: type-ahead in your IDE of choice), the highest-fidelity lineage on the market, and much more.

dbt Labs acquires SDF Labs to accelerate the dbt developer experience

Postgres Release Monitor

Security und Privacy

Snyk erstellt ein zweifelhaftes NPM-Package

Eine seltsame Geschichte um Snyk ist diese Woche aufgetaucht. Paul McCarty hat in einem Blog-Beitrag Snyk security researcher deploys malicious NPM packages targeting Cursor.com darüber berichtet.

If you install any of these packages they will collect data about your system and send it to an attacker controlled web service.

[...]

Luckily, in addition to me seeing these files, the OpenSSF package analysis scanner identified these packages as malicious. OSV generated 3 malware advisories: MAL-2025-27, MAL-2025-28 and MAL-2025-29.

Klingt alles nicht gut. In einem Bericht von The Register (Snyk appears to deploy 'malicious' packages targeting Cursor for unknown reason) wird auf einen Hacker News Thread verwiesen, wo sich Arvid Lunnemark, Co-Founder der Firma, die Cursor entwickelt, zu Wort gemeldet hat:

We did not hire Snyk, but we reached out to them after seeing this and they apologized. We did not get any confirmation of what exactly they were trying to do here

Snyk hat dann in einem Blog-Beitrag (Snyk Security Labs Testing Update: Cursor.com AI Code Editor) darauf hingewiesen, dass sie eine dependency confusion attack gemacht haben, da Cursor andere öffentlich ermutigt Sicherheitslücken zu melden:

Cursor publicly encourages reporting security vulnerabilities in their product and have published a guide and an established channel for such reports.

Es bleibt jedenfalls ein seltsamer Beigeschmack und die Frage, warum das Paket so viele Daten sammeln muss, um etwas zu "beweisen".

FBI hackt Geräte, um sich von Malware zu säubern

The Verge berichtet im Artikel FBI hacked thousands of computers to make malware uninstall itself von einer Aktion des FBI, die durchaus auch Kopfschütteln hervorrufen kann.

The FBI hacked about 4,200 computers across the US as part of an operation to find and delete PlugX, a malware used by state-backed hackers in China to steal information from victims, the Department of Justice announced on Tuesday.

Einerseits ist es durchaus gut, wenn Malware entfernt wird. Andrerseits Computer zu hacken, um unerwünschte Malware loszuwerden, hat auch irgendwie einen Beigeschmack.

Microsoft stopft zahlreiche Sicherheitslücken

In einem Jänner-Update stopft Microsoft zahlreiche (rund 160) Sicherheitslücken. Kein gutes Zeichen für die Sicherheit der Produkte. Zumindest meiner Ansicht nach.

Eine Lücke in Outlook sticht dabei hervor

Laut Microsoft lässt sich die Schwachstelle von Angreifern ausnutzen, indem sie lediglich eine speziell gestaltete E-Mail an ihre Opfer senden. Auf diesem Wege kann Schadcode eingeschleust und zur Ausführung gebracht werden. Letzteres passiert aber nicht nur, wenn die Zielperson die E-Mail aktiv in Outlook öffnet. Den Angaben nach reicht dafür schon die bloße Anzeige der E-Mail-Vorschau aus.

Kritische Windows-Lücke lässt Schadcode per E-Mail rein

OAuth Flaw

In einem Beitrag wird auf ein Problem mit OAuth aufmerksam gemacht: Millions of Accounts Vulnerable due to Google’s OAuth Flaw

Here’s the problem: Google’s OAuth login doesn’t protect against someone purchasing a failed startup’s domain and using it to re-create email accounts for former employees. And while you can’t access old email data, you can use those accounts to log into all the different SaaS products that the organization used.

Das Problem liegt am "outsourcen" an die Funktion Sign in with Google. Wenn man das nutzt, dann hat man (derzeit) keine Möglichkeit zu überprüfen, ob es sich noch um den gleichen Domaininhaber, wie bei der erstmaligen Nutzung handelt. Und Domains, die einmal genutzt wurden und jetzt gekauft werden können, gibt es wahrscheinlich sehr viele.

Palo Alto, Ivanti

Vielleicht sollte man einfach einen fixen Punkt jede Woche einführen, wo diese Sicherheitsfirmen vorkommen.

Palo Alto hat wieder eine schöne Lücke (Migrationstool Palo Alto Expedition gefährdet Netzwerksicherheit). SQL-Injections sind also auch im Jahr 2025 ein Problem. Zumindest für Sicherheitsfirmen.

Das Werkzeug Expedition von Palo Alto Networks dient dazu, von anderen Firewalls auf Palo-Alto-Geräte umzuziehen. Aufgrund von Schwachstellen darin können Angreifer jedoch etwa wichtige Informationen wie Zugangsdaten abgreifen und damit Netzwerke kompromittieren.

[...]

Am schwerwiegendsten stufen sie eine SQL-Injection-Schwachstelle ein, durch die authentifizierte Angreifer Inhalte aus der Expedition-Datenbank auslesen können, darunter etwa Passwort-Hashes, Nutzernamen, Gerätekonfigurationen und API-Keys von Geräten (CVE-2025-0103, CVSS 9.2, Risiko "kritisch").

Ivanti macht Probleme bei Nominet.

"We became aware of suspicious activity on our network late last week. The entry point was through third-party VPN software supplied by Ivanti that enables our people to access systems remotely. The unauthorized intrusion into our network exploited a zero-day vulnerability," the email added.

Nominet probes network intrusion linked to Ivanti zero-day exploit.

Und CISA macht Druck Update bei Ivanti-Geräten einzuspielen:

The federal government and multiple cybersecurity firms warned of a zero-day vulnerability in FortiGate firewalls that hackers are actively exploiting. In a sign of the bug’s severity, the Cybersecurity and Infrastructure Security Agency (CISA) ordered all federal civilian agencies to patch the vulnerability by January 21 — one of the shortest deadlines it has ever issued. Fortinet said in an advisory that the bug is being exploited in the wild but did not say how many customers have been impacted. The company said threat actors attacking organizations with the vulnerability are creating administrative accounts on targeted devices and changing settings related to firewall policies.

CISA warns of exploited Fortinet bugs as Microsoft issues its biggest Patch Tuesday in years

Data breach ticker

AI

Google führt seine AI-Teams zusammen

Kyle Wiggers berichtet bei TechCrunch, dass Google weitere Teams zusammenlegt, um die AI-Entwicklung zu stärken:

On Thursday, Logan Kilpatrick, who leads product for Google’s AI Studio developer platform, said in a post on X that Google’s AI Studio team and the team developing the API for the company’s Gemini series of models will be moving under Google DeepMind.

Google folds more AI teams into DeepMind to ‘accelerate the research to developer pipeline’

Diverses

Mastodon gründet Non-Profit Organisation

Mastodon hat diese Woche bekannt gegeben, dass alle wesentlichen Teile an eine Non-Profit-Organisation übergeben werden:

Simply, we are going to transfer ownership of key Mastodon ecosystem and platform components (including name and copyrights, among other assets) to a new non-profit organization, affirming the intent that Mastodon should not be owned or controlled by a single individual.

The people should own the town square

Austrian Audio wird übernommen

Ich nutze mehrere Kopfhörer von Austrian Audio und bin sehr zufrieden damit. Daher muss man hoffen, die Übernahme durch DPA Microphones ermöglicht den eingeschlagenen Weg auch weiterzugehen. Der letzte Satz im Artikel lässt das zumindest hoffen:

Austrian Audio wird weiterhin unter eigenem Namen in Wien Audioprodukte entwickeln und produzieren.

Dänische DPA Microphones übernimmt Mehrheit an Austrian Audio