[pgsql-jp: 31597] Re: PostgreSQL 7.2.3の脆弱性について
Takuya Abe
abe @ yokote.net
2003年 11月 26日 (水) 14:54:17 JST
先日このMLでお世話になりました阿部です。
On Wed, 26 Nov 2003 14:23:29 +0900
片岡 武一 <kataoka2050 @ hotmail.com> wrote:
> 片岡と申します。
>
> 現在PostgreSQL 7.2.3を使用しています。
> それで、Postgresql関係のページで脆弱性があるのか確認したのですが、見たとこ
> ろ、
> 特に脆弱性のことは載っていないみたいでした。ただ、PostgreSQL 7.2.3の次バー
> ジョンにPostgreSQL 7.2.4
> というのがあります、リリース情報を見ても説明書きのところには何も書かれていま
> せんでした。
> 今現在PostgreSQL 7.2.3に深刻な脆弱性は確認されているのでしょうか?
> ご回答お願い致します。
どうやら7.2.3も危なそうです。
下記は11月19日にJPCERT/CCからレポートされたものです。
これには7.2.4も含まれますが、僕は7.2.4へのセキュリティフィックス
パッチは見つけられませんでした。どこにあるのでしょう・・・?
ちなみにこれがきっかけで7.4への移行を決断しました。7.4もリリース
されたばかりでちょっと不安ですけどね(^^;)。
-----------------------------------------------------------------------
[7] CIAC Bulletin O-026
Red Hat Updated PostgreSQL Packages Fix Buffer Overflow
http://www.ciac.org/ciac/bulletins/o-026.shtml
PostgreSQL には、to_ascii 関数にバッファオーバーフローの脆弱性がありま
す。結果として、遠隔から第三者が PostgreSQL サーバを実行しているユーザ
の権限を取得する可能性があります。対象となるのは以下のバージョンの
PostgreSQL です。
- バージョン 7.2.x
- バージョン 7.3.3 およびそれ以前の 7.3.x
この問題は、使用している OS のベンダや配布元などが提供する修正済みのパッ
ケージに更新することで解決します。
関連文書 (日本語)
Red Hat Linux セキュリティアドバイス RHSA-2003:313-10
PostgreSQLパッケージのアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-313J.html
関連文書 (英語)
PostgreSQL
http://www.postgresql.org/
Debian Security Advisory DSA-397-1
postgresql -- buffer overflow
http://www.debian.org/security/2003/dsa-397.en.html
-----------------------------------------------------------------------
-------------------------
阿部拓也 <abe @ yokote.net>
-------------------------
pgsql-jp メーリングリストの案内