[pgsql-jp: 31770] Re: postgreSQLのセキュリティパッチについて
Kazumasa Gotoh
kgotoh @ cic-kk.co.jp
2003年 12月 12日 (金) 09:06:37 JST
From: 中前信 <nakamae @ tsuzuki.co.jp>
Date: Thu, 11 Dec 2003 18:42:33 +0900
> フリーのPostgreSQLを
> 公開用WWWサーバで使っているとき、
> (ユーザ認証の仕組をつくっています)
> セキュリティパッチを適用したことが
> ありますでしょうか?
「フリーの PostgreSQL」という言い方がよくわかりません。
有償でサポートを提供している会社はありますが、そこで
使用しているモノ自身に差異はないと私は認識しています。
> また、セキュリティパッチの情報は
> どのように入手されているのでしょうか?
PostgreSQL の公式サイトである http://www.postgresql.org/ など。
日本 PostgreSQL ユーザ会のサイトなどでも適宜情報は公開されて
いるかと思います。
> TurboLinux殿から
> 2003年11月28日にpostgresql V7.2.1に関する
> セキュリティパッチ情報が公開されていますが、
> バージョンが同様であれば、
> フリーのpostgresqlにも同様のセキュリティホールが
> あると考えるべきなのでしょうか?
TurboLinux はパッケージングを行っているだけなので、
PostgreSQL 本体は同じものでしょう。
TurboLinux にしろ Red Hat にしろ、「自社でオリジナルの PostgreSQL に
対して手を加えている」明示的に宣言しているもの(… そういうのって
あったかな?)以外は同じものです。
これらのディストリビューションに含まれているものは、別に「有償の
PostgreSQL」であるわけではありません。
「全体としてのパッケージの提供とサポート」が有償なのです。
ただ、postgresql.org としては、セキュリティパッチに関しては現行
バージョンに対しては何らかの fix が出たり、次期バージョンで対処と
なるでしょうが、過去のバージョン対してどうするかは… どうだったかな?
例えば新たに 7.2.1 に対してセキュリティ上の問題があったとしても、
現行の7.3.5 や 7.4 ですでにその問題が fix されていれば、7.2.1 に
対するパッチは出るかも知れませんし、出ないかも知れません。
「7.2.1 にはこういう問題がある」というアナウンスは出るだろうとは
思いますが、「7.4 では fix されている」という言い方になるでしょう。
7.2.1 に対するパッチは、それを必要だと感じた人が作り、コミュニティ
上で公開される可能性はあります。
問題があるのはわかっているが、既知のパッチは無く、また自分でパッチを
作ることができないのであれば、さっさとバージョンアップすることに
なるでしょう。
さらに言えば、TuroboLinux にしろ Red Hat にしろ、必ずしも過去の
バージョンに対するパッチを出すとは限りません。
彼らにとって、その当該ディストリビューションのあるバージョンが
まだサポート期間内であれば、その中に含まれている PostgreSQL の
バージョンが古いものであってもメンテナンスされる「可能性」が
あるだけです。
まぁ、当該ディストリビューションがサポート期間内であれば、
こういうパッチを作るのは「義務」かも知れませんが…
結局のところ、PostgreSQL は TurboLinux や Red Hat が提供して
いるわけではないので、PostgreSQL に関する情報は、PostgreSQL を
開発/提供しているところに聞かなければわかりません。
ディストリビュータ側が何か問題を発見したとしたら、それは開発側に
フィードバックされるでしょうし。
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
(株) セントラル情報センター
後藤和政 kgotoh @ cic-kk.co.jp
pgsql-jp メーリングリストの案内