[pgsql-jp: 31603] Re: PostgreSQL 7.2.3の脆弱性について

[Keiji Mitsubuchi]

三淵＠NWCです。

セキュリティーは、専門外ですが
昔の弊社のサーバーも、やられたのですが
WebもしくはSMTP経由で、
ハッキングされるケースが
当てはまりやすいと思います。
そのときに、PHPやPerlでDBに
アクセスしていれば
ファイルを書き換えて
下記の、脆弱性をついて
DBサーバにまで、入り込んだり
顧客情報を、ダウンロードしたり
できてしまいそうな気がします。

やはり、バージョンUPする方が
いいのではないかと思います。



----- Original Message ----- 
From: "Tatsuo Ishii" <t-ishii ＠ sra.co.jp>
To: <pgsql-jp ＠ ml.postgresql.jp>
Sent: Wednesday, November 26, 2003 4:12 PM
Subject: [pgsql-jp: 31601] Re: PostgreSQL 7.2.3の脆弱性について


> 石井です．
>
> > http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-314J.html
> > この情報からすると、
> > アプリケーションのなかでto_ascii関数とto_timestamp関数を
> > 使っていなければひとまず大丈夫と読み取れるのですが、
> > この認識は正しいのでしょうか・・・？
>
> 正しいと思います．
>
> そもそもto_ascii()などを実行するためには，PostgreSQLに正規ユーザとして
> 接続できなければなりません．逆にクラッカーが不正にPostgreSQLに接続でき
> たとしたら，その時点ですべてが終わっています．
>
> となると心配なのは悪意のある正規ユーザがいるケースだけですが，そもそも
> SQL文にバッファーオーバフローを利用した不正なマシンコードを潜り込ませ
> ること自体が極めて困難だと思います．
> --
> Tatsuo Ishii
>