[pgsql-jp: 31600] Re: PostgreSQL 7.2.3の脆弱性について
T.Suzuki
t_suzuki @ kenwood-eng.co.jp
2003年 11月 26日 (水) 16:12:05 JST
鈴木@KEGと申します。
渡辺さん wrote:
> http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-314J.html
> この情報からすると、
> アプリケーションのなかでto_ascii関数とto_timestamp関数を
> 使っていなければひとまず大丈夫と読み取れるのですが、
> この認識は正しいのでしょうか・・・?
作成したアプリケーションに、「ダイレクトSQLコマンドインジェクション」の
脆弱性が絶対無いことが、まず必要かと思います。
また、リモートからSQLを実行出来る環境
(ODBC接続を許可してあるや、telnetで一般ユーザがpsqlを実行可能 等)
があれば、この脆弱性を突かれる可能性はあります。
PostgreSQL以外のセキュリティホールを使用して、
SQL(to_ascii関数を含む)を実行される事も考えられるので、
バージョンアップして根本の脆弱性を解決するのが正しいと思います。
-----------------------------------------
鈴木 徹 (SUZUKI Toru)
KENWOOD ENGINEERING CORPORATION
E-mail:t_suzuki @ kenwood-eng.co.jp
-----------------------------------------
pgsql-jp メーリングリストの案内