PostgreSQL Global Development Groupは5月22日,オープンソースのデータベース管理システム(DBMS)「PostgreSQL 7.x/8.x」にセキュリティ・ホールが見つかったことを明らかにされた。不正なSQL文を送り込まれる「SQLインジェクション」攻撃を許して,データベース内の情報を操作される恐れなどがある。対策は,同日リリースされたバージョン 8.1.4/8.0.8/7.4.13/7.3.15にアップグレードすること。

 今回見つかったセキュリティ・ホールは2種類。いずれもSQLインジェクション攻撃を許す恐れがあるもの。1つは,入力情報のチェックに関するセキュリティ・ホール。不適切にエンコードされた多バイト文字を含むパラメータを適切に処理できない場合があるという。このため攻撃者は,入力情報のチェック機構を回避して,不正なSQL文を送り込める可能性がある。

 もう1つは,ASCIIのシングルクォート「'」のエスケープ処理と多バイト文字の処理に関するセキュリティ・ホール。こちらについても,悪用されると攻撃者に任意のSQL文を送り込まれる恐れがある。

 対策は,セキュリティ・ホールを修正したバージョン8.1.4/8.0.8/7.4.13/7.3.15にアップグレードすること。PostgreSQLのダウンロード・サイトから入手できる。

◎参考資料
Security Release: All Active Branches
Downloads
8.1.4 et. al. Security Release Information