[pgsql-jp: 31617] Re: PostgreSQL 7.2.3の脆弱性について

[Ryosuke Hosoi]

細井です

From: TANIDA Yutaka <tanida ＠ sra.co.jp>
Subject: [pgsql-jp: 31616] Re: PostgreSQL 7.2.3の脆弱性について
Date: Thu, 27 Nov 2003 09:44:51 +0900
Message-ID: <20031127093518.A33E.TANIDA ＠ sra.co.jp>

> 谷田です。
> 
> On Wed, 26 Nov 2003 21:33:13 +0900
> WADA Hiroyuki <wada ＠ komine-ag.co.jp> wrote:
> 
> > まどろっこしいことをすれば顧客情報にアクセス権がなくても
> > つっつけるということじゃないですか？
> 
> なるほど。適切な権限管理を行っていても、この方法から新しくsuper userを作
> るなりなんなりで、それをすり抜けられる可能性があると言うことですね。これ
> は見落としていました。

この手の脆弱性というのは、特にレンタルサーバー業者なんかが気をつける必
要があります。
（そういう人以外はほっといていいというわけでは無いです＾＾；）

レンタルサーバー業者でなくても、たとえばお客さんのWEB+DBなサイトをホス
ティングしていて、お客さんが複数いれば、権限を越えてつつかれる可能性は
あるわけです。
# あんまりいい例えじゃないかも

> いずれにしてもSQLたたける時点ですでに十分すぎるほど危険だと思いますが。

*適切な権限で*SQLをたたかせるというサービスもあるわけなので、一概に
危険というのはちょっと違うかな、と。

PostgreSQLの使用できる共用サーバーを借りてる方は、確認の必要があり
ますね。

-- 
 Ryosuke Hosoi / 細井 良祐
 mailto:hosoi ＠ ryo.com http://www.ryo.com/
 PGP Public Key http://www.ryo.com/ryo/hosoi.ryo.com.asc
 fingerprint = 4F39 61B0 2034 3A5C DFE8  FBCB 7B99 90CF EBE1 A3F3