[pgsql-jp: 31606] Re: PostgreSQL 7.2.3の脆弱性について
Keiji Mitsubuchi
keiji @ nwco.com
2003年 11月 26日 (水) 17:08:57 JST
三淵です。
説明不足ですみません。
書き忘れていましたが
DBサーバーと
Webサーバーが
別々の場合ですね。
> 谷田です。
>
> On Wed, 26 Nov 2003 16:28:49 +0900
> "Keiji Mitsubuchi" <keiji @ nwco.com> wrote:
>
> > WebもしくはSMTP経由で、
> > ハッキングされるケースが
> > 当てはまりやすいと思います。
> > そのときに、PHPやPerlでDBに
> > アクセスしていれば
> > ファイルを書き換えて
> > 下記の、脆弱性をついて
> > DBサーバにまで、入り込んだり
> > 顧客情報を、ダウンロードしたり
> > できてしまいそうな気がします。
>
> そもそも、SQL文で直接アクセスできる、あるいは直接アクセスできるソース
> コードを書き換えられるなら、こんなつまらないセキュリティホールを突かなく
> とも簡単に顧客データを取れるはずです。
> むしろこのセキュリティホールを利用するなら、DBをクラッシュさせる目的で
> しょう。それすら現実的とは思えませんが・・・
>
> > やはり、バージョンUPする方が
> > いいのではないかと思います。
>
> バージョンアップした方がいいのは同意です。
>
> --
> TANIDA Yutaka <tanida @ sra.co.jp>
>
pgsql-jp メーリングリストの案内