|
OSA-2003-40
1 サマリ
|
|
|
|
|
|
PostgreSQL 認証時の SQL 挿入脆弱性
|
|
|
|
2 詳細
ftp サーバの ProFTPD では、認証のバックエンドに PostgreSQL を使用することができます。この SQL 認証に SQL 挿入攻撃(SQL injection)につながる問題が発見されました。SQL 認証の設定をしている場合、攻撃者によって ProFTPD を通じて任意の SQL を実行されてしまう可能性があります。ProFTPD で SQL 認証をおこなっている場合はかならずアップデートするようにして下さい。
この問題に関連する情報については以下の文書をご参照ください。
|
|
|
|
「DSA-338-1 proftpd -- SQL injection」 - Debian Project
|
|
|
|
|
|
SQL 認証の設定方法については本文書を参照してください。これは proftpd-doc パッケージ中の/usr/share/doc/proftpd-doc/README.mod_sql.gz にあります。
|
|
3 対処方法
この問題は ARMA 2.0/2.1 では 1.2.4+1.2.5rc1-5woody2o1 で修正されています。ARMA 2.2 では 1.2.8-8 で修正されています。
いずれの場合も以下のコマンドを実行することでアップデートすることができます。
|
|
|
# apt-get update
|
|
# apt-get install proftpd-common
|
|
|
|
| |
|
|
