[pgsql-jp: 31600] Re: PostgreSQL 7.2.3の脆弱性について

T.Suzuki t_suzuki @ kenwood-eng.co.jp
2003年 11月 26日 (水) 16:12:05 JST


鈴木@KEGと申します。

渡辺さん wrote:
> http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-314J.html
> この情報からすると、
> アプリケーションのなかでto_ascii関数とto_timestamp関数を
> 使っていなければひとまず大丈夫と読み取れるのですが、
> この認識は正しいのでしょうか・・・?

作成したアプリケーションに、「ダイレクトSQLコマンドインジェクション」の
脆弱性が絶対無いことが、まず必要かと思います。

また、リモートからSQLを実行出来る環境
 (ODBC接続を許可してあるや、telnetで一般ユーザがpsqlを実行可能 等)
があれば、この脆弱性を突かれる可能性はあります。

PostgreSQL以外のセキュリティホールを使用して、
SQL(to_ascii関数を含む)を実行される事も考えられるので、
バージョンアップして根本の脆弱性を解決するのが正しいと思います。

 -----------------------------------------
      鈴木 徹 (SUZUKI Toru)
      KENWOOD ENGINEERING CORPORATION
      E-mail:t_suzuki @ kenwood-eng.co.jp
 -----------------------------------------



pgsql-jp メーリングリストの案内