[pgsql-jp: 31770] Re: postgreSQLのセキュリティパッチについて

[Kazumasa Gotoh]

From: 中前信 <nakamae ＠ tsuzuki.co.jp>
Date: Thu, 11 Dec 2003 18:42:33 +0900

> フリーのPostgreSQLを
> 公開用WWWサーバで使っているとき、
> （ユーザ認証の仕組をつくっています）
> セキュリティパッチを適用したことが
> ありますでしょうか？

「フリーの PostgreSQL」という言い方がよくわかりません。
有償でサポートを提供している会社はありますが、そこで
使用しているモノ自身に差異はないと私は認識しています。

> また、セキュリティパッチの情報は
> どのように入手されているのでしょうか？

PostgreSQL の公式サイトである http://www.postgresql.org/ など。
日本 PostgreSQL ユーザ会のサイトなどでも適宜情報は公開されて
いるかと思います。

> TurboLinux殿から
> 2003年11月28日にpostgresql V7.2.1に関する
> セキュリティパッチ情報が公開されていますが、
> バージョンが同様であれば、
> フリーのpostgresqlにも同様のセキュリティホールが
> あると考えるべきなのでしょうか？

TurboLinux はパッケージングを行っているだけなので、
PostgreSQL 本体は同じものでしょう。

TurboLinux にしろ Red Hat にしろ、「自社でオリジナルの PostgreSQL に
対して手を加えている」明示的に宣言しているもの(… そういうのって
あったかな？)以外は同じものです。

これらのディストリビューションに含まれているものは、別に「有償の
PostgreSQL」であるわけではありません。
「全体としてのパッケージの提供とサポート」が有償なのです。

ただ、postgresql.org としては、セキュリティパッチに関しては現行
バージョンに対しては何らかの fix が出たり、次期バージョンで対処と
なるでしょうが、過去のバージョン対してどうするかは… どうだったかな？

例えば新たに 7.2.1 に対してセキュリティ上の問題があったとしても、
現行の7.3.5 や 7.4 ですでにその問題が fix されていれば、7.2.1 に
対するパッチは出るかも知れませんし、出ないかも知れません。

「7.2.1 にはこういう問題がある」というアナウンスは出るだろうとは
思いますが、「7.4 では fix されている」という言い方になるでしょう。

7.2.1 に対するパッチは、それを必要だと感じた人が作り、コミュニティ
上で公開される可能性はあります。

問題があるのはわかっているが、既知のパッチは無く、また自分でパッチを
作ることができないのであれば、さっさとバージョンアップすることに
なるでしょう。

さらに言えば、TuroboLinux にしろ Red Hat にしろ、必ずしも過去の
バージョンに対するパッチを出すとは限りません。
彼らにとって、その当該ディストリビューションのあるバージョンが
まだサポート期間内であれば、その中に含まれている PostgreSQL の
バージョンが古いものであってもメンテナンスされる「可能性」が
あるだけです。
まぁ、当該ディストリビューションがサポート期間内であれば、
こういうパッチを作るのは「義務」かも知れませんが…

結局のところ、PostgreSQL は TurboLinux や Red Hat が提供して
いるわけではないので、PostgreSQL に関する情報は、PostgreSQL を
開発/提供しているところに聞かなければわかりません。
ディストリビュータ側が何か問題を発見したとしたら、それは開発側に
フィードバックされるでしょうし。

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
(株) セントラル情報センター
                             後藤和政    kgotoh ＠ cic-kk.co.jp