[pgsql-jp: 31605] Re: PostgreSQL 7.2.3の脆弱性について

TANIDA Yutaka tanida @ sra.co.jp
2003年 11月 26日 (水) 16:57:37 JST


谷田です。

On Wed, 26 Nov 2003 16:28:49 +0900
"Keiji Mitsubuchi" <keiji @ nwco.com> wrote:

> WebもしくはSMTP経由で、
> ハッキングされるケースが
> 当てはまりやすいと思います。
> そのときに、PHPやPerlでDBに
> アクセスしていれば
> ファイルを書き換えて
> 下記の、脆弱性をついて
> DBサーバにまで、入り込んだり
> 顧客情報を、ダウンロードしたり
> できてしまいそうな気がします。

 そもそも、SQL文で直接アクセスできる、あるいは直接アクセスできるソース
コードを書き換えられるなら、こんなつまらないセキュリティホールを突かなく
とも簡単に顧客データを取れるはずです。
 むしろこのセキュリティホールを利用するなら、DBをクラッシュさせる目的で
しょう。それすら現実的とは思えませんが・・・

> やはり、バージョンUPする方が
> いいのではないかと思います。

バージョンアップした方がいいのは同意です。

-- 
TANIDA Yutaka <tanida @ sra.co.jp>




pgsql-jp メーリングリストの案内