[pgsql-jp: 31601] Re: PostgreSQL 7.2.3の脆弱性について

Tatsuo Ishii t-ishii @ sra.co.jp
2003年 11月 26日 (水) 16:12:12 JST


石井です.

> http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-314J.html
> この情報からすると、
> アプリケーションのなかでto_ascii関数とto_timestamp関数を
> 使っていなければひとまず大丈夫と読み取れるのですが、
> この認識は正しいのでしょうか・・・?

正しいと思います.

そもそもto_ascii()などを実行するためには,PostgreSQLに正規ユーザとして
接続できなければなりません.逆にクラッカーが不正にPostgreSQLに接続でき
たとしたら,その時点ですべてが終わっています.

となると心配なのは悪意のある正規ユーザがいるケースだけですが,そもそも
SQL文にバッファーオーバフローを利用した不正なマシンコードを潜り込ませ
ること自体が極めて困難だと思います.
--
Tatsuo Ishii



pgsql-jp メーリングリストの案内