OSA-2006-23
DBMS の PostgreSQL にセキュリティ脆弱性が指摘されています。これは SQL の多国語文字列の処理において、エスケープチェックが不足していたため、SQL インジェクション攻撃が可能になっていた、という問題です。特に、SQL を使用する Web アプリケーションを使用している場合は、リモートから DBMS へ任意の SQL を実行されてしまう可能性があります。
この問題のより詳しい情報については以下を参照してください。
|
|
「Technical Information on Encoding-Based SQL Injection Exploit」 Josh Berkus
|
|
|
|
PostgreSQL Core Team Sun Microsystems
|
|
|
|
「CVE-2006-2313」 Common Vulnerabilities and Exposures
|
|
|
|
「CVE-2006-2314」 Common Vulnerabilities and Exposures
|
|
アップデート後の postgresql 関連パッケージのバージョンは 7.3.2r-3o601 に上がります。
ARMA 2.2 をご利用の場合は、root になり以下のコマンドでパッケージのアップデートをおこなって下さい。
|
# apt-get update
| # apt-get install postgresql postgresql-contrib
|
|
|
ARMA2.2 の作業はここまでです。
ARMA 2.1 をご利用の場合は DBMS のバージョンの移行作業(マイグレーション)が必要になります。マイグレーション作業に失敗すると DBMS は動作しませんので、バックアップをとった上で慎重に作業を進めてください。
具体的な手順としては、root になりORCA 等の DBMS にアクセスするサービスを停止し、以下の手順でダンプ・移行・リストア作業をおこないます。また以下の作業中に DBMS のダンプを生成しますので、十分に空き容量のあるディレクトリに移動(cd)してから作業をおこなってください。
|
# apt-get update
| # apt-get install ogl-tools
| # /usr/sbin/ogl/wrap apt-get install postgresql
| # /usr/lib/postgresql/bin/arma21-migrate
|
|
|
最後のスクリプトの終了時にはページャが起動されますので内容を確認の上「q」をタイプしてください。また引き続き「is it OK to delete the old database?」と尋ねられますので、これも「y」とタイプしてください。作業全体にかかる時間はシステム環境に依存しますが、20-60分程度を目安としてください。
また ARMA2.1 ORCA 版をご利用の場合は、引き続き以下のステップを実行してください。
|
|
管理ツール(ogl-admin)を起動し、「ORCA の設定」を選択します
|
|
|
|
設定ファイル pg_hba.conf と postgresql.conf について違いが報告されますが、「違いを破棄」を選択します
|
|
|
|
再度管理ツール(ogl-admin)を起動し「ORCA の設定」を選択します
|
|
|
|
「サーバの状態変更」を選択し停止させます(すでに停止状態でも実行してください)
|
|
|
|
再度「サーバの状態変更」を選択し、「開始」を選択します
|
|
arma21-migrate スクリプトはデータの移行を自動化したスクリプトです。このスクリプトの動作に失敗してしまった場合は手作業の移行が必要になります。手作業の移行作業が困難と判断される場合はリモートメンテナンスをご依頼ください。
|