[pgsql-jp: 31597] Re: PostgreSQL 7.2.3の脆弱性について

2003年 11月 26日 (水) 14:54:17 JST

先日このMLでお世話になりました阿部です。

On Wed, 26 Nov 2003 14:23:29 +0900
片岡 武一 <kataoka2050 ＠ hotmail.com> wrote:

> 片岡と申します。
> 
> 現在PostgreSQL 7.2.3を使用しています。
> それで、Postgresql関係のページで脆弱性があるのか確認したのですが、見たとこ
> ろ、
> 特に脆弱性のことは載っていないみたいでした。ただ、PostgreSQL 7.2.3の次バー
> ジョンにPostgreSQL 7.2.4
> というのがあります、リリース情報を見ても説明書きのところには何も書かれていま
> せんでした。
> 今現在PostgreSQL 7.2.3に深刻な脆弱性は確認されているのでしょうか？
> ご回答お願い致します。

どうやら7.2.3も危なそうです。
下記は11月19日にJPCERT/CCからレポートされたものです。
これには7.2.4も含まれますが、僕は7.2.4へのセキュリティフィックス
パッチは見つけられませんでした。どこにあるのでしょう・・・？

ちなみにこれがきっかけで7.4への移行を決断しました。7.4もリリース
されたばかりでちょっと不安ですけどね(^^;)。

-----------------------------------------------------------------------
[7] CIAC Bulletin O-026
    Red Hat Updated PostgreSQL Packages Fix Buffer Overflow
    http://www.ciac.org/ciac/bulletins/o-026.shtml

PostgreSQL には、to_ascii 関数にバッファオーバーフローの脆弱性がありま
す。結果として、遠隔から第三者が PostgreSQL サーバを実行しているユーザ
の権限を取得する可能性があります。対象となるのは以下のバージョンの 
PostgreSQL です。

  - バージョン 7.2.x
  - バージョン 7.3.3 およびそれ以前の 7.3.x

この問題は、使用している OS のベンダや配布元などが提供する修正済みのパッ
ケージに更新することで解決します。

  関連文書 (日本語)
    Red Hat Linux セキュリティアドバイス RHSA-2003:313-10
    PostgreSQLパッケージのアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-313J.html

  関連文書 (英語)
    PostgreSQL
    http://www.postgresql.org/

    Debian Security Advisory DSA-397-1
    postgresql -- buffer overflow
    http://www.debian.org/security/2003/dsa-397.en.html
-----------------------------------------------------------------------

-------------------------
阿部拓也 <abe ＠ yokote.net>
-------------------------