ARMA
           ARMA Net           製品とサポート           通信販売           会社概要           求人情報       
ARMA 4.0

ARMA 3.0 マニュアル(ご参考用)

プレインストール PC

個人・小規模サイト
向けサポート
(パッケージ付属)


よくいただくお問い
合わせについて


対応ハードウェア情報

法人向け各種サービス

OSA-2007-32
 
 
1 サマリ
 
 
対象システム
ARMA2.1,ARMA2.2
パッケージ
posgtresql-ogl
概要
意図しない権限昇格の可能性
危険度
1
 
 
 
2 詳細
 
 DBMS の PostgreSQL にセキュリティ脆弱性が指摘されています。これは関数の実行権限チェックの不足により、権限のないユーザがSECURITY DEFINERS 関数を実行できてしまうことで意図しない権限の昇格が発生してしまうという問題です。
 この問題のより詳しい情報については以下を参照してください。
 
「CVE-2007-2138」 Common Vulnerabilities and Exposures
 
 
 アップデート後の postgresql 関連パッケージのバージョンは 7.4.7-6sarge5o101 に上がります。
 
 
3 対処方法
 
 今回のアップデートでは DBMS のバージョンの移行作業(マイグレーション)が必要になります。マイグレーション作業に失敗すると DBMS は動作しませんので、バックアップをとった上で慎重に作業を進めてください。
 具体的な手順としては、root になりORCA 等の DBMS にアクセスするサービスを停止し、以下の手順でダンプ・移行・リストア作業をおこないます。また以下の作業中に DBMS のダンプを生成しますので、十分に空き容量のあるディレクトリに移動(cd)してから作業をおこなってください。
 
 
# apt-get update
# apt-get install postgresql 
# /usr/lib/postgresql/bin/arma-migrate
 
 
 最後のスクリプトの終了時にはページャが起動されますので内容を確認の上「q」をタイプしてください。また引き続き「is it OK to delete the old database?」と尋ねられますので、これも「y」とタイプしてください。作業全体にかかる時間はシステム環境に依存しますが、20-60分程度を目安としてください。
 ARMA2.1 ORCA 版をご利用の場合は、引き続き以下のステップを実行してください。
 
(1)
管理ツール(ogl-admin)を起動し、「ORCA の設定」を選択します
 
(2)
設定ファイル pg_hba.conf と postgresql.conf について違いが報告されますが、「違いを破棄」を選択します
 
(3)
「Ok」を選択し、管理ツールを一旦終了します
 
(4)
再度管理ツール(ogl-admin)を起動し「ORCA の設定」を選択します
 
(5)
「サーバの状態変更」を選択し停止させます(すでに停止状態でも実行してください)
 
(6)
再度「サーバの状態変更」を選択し、「待機」を選択します
 
(7)
管理ツールを終了します
 
 
 
 arma-migrate スクリプトはデータの移行を自動化したスクリプトです。このスクリプトの動作に失敗してしまった場合は手作業の移行が必要になります。手作業の移行作業が困難と判断される場合はリモートメンテナンスをご依頼ください。

COPYRIGHT (C)2022, オモイカネ株式会社 (Omoikane Inc.)
E-mail: info@omoikane.co.jp