PostgreSQL Global Development Groupは5月22日，オープンソースのデータベース管理システム（DBMS）「PostgreSQL 7.x／8.x」にセキュリティ・ホールが見つかったことを明らかにされた。不正なSQL文を送り込まれる「SQLインジェクション」攻撃を許して，データベース内の情報を操作される恐れなどがある。対策は，同日リリースされたバージョン 8.1.4／8.0.8／7.4.13／7.3.15にアップグレードすること。

　今回見つかったセキュリティ・ホールは2種類。いずれもSQLインジェクション攻撃を許す恐れがあるもの。1つは，入力情報のチェックに関するセキュリティ・ホール。不適切にエンコードされた多バイト文字を含むパラメータを適切に処理できない場合があるという。このため攻撃者は，入力情報のチェック機構を回避して，不正なSQL文を送り込める可能性がある。

　もう1つは，ASCIIのシングルクォート「'」のエスケープ処理と多バイト文字の処理に関するセキュリティ・ホール。こちらについても，悪用されると攻撃者に任意のSQL文を送り込まれる恐れがある。

　対策は，セキュリティ・ホールを修正したバージョン8.1.4／8.0.8／7.4.13／7.3.15にアップグレードすること。PostgreSQLのダウンロード・サイトから入手できる。

◎参考資料
◆Security Release: All Active Branches
◆Downloads
◆8.1.4 et. al. Security Release Information