blob: f2db9a276c85c15fa4b7e0e7e6c8ae4c6729e6d1 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>プログラム上の誤り</define-tag>
<define-tag moreinfo>
<p>複数のエンコーディング問題が、広く用いられている SQL データベース PostgreSQL
に発見されました。Common Vulnerabilities and Exposures
プロジェクトでは以下の問題を特定しています。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2313">CVE-2006-2313</a>
<p>石田朗雄さんと大垣靖男さんにより、
不正な形式でエンコードされたマルチバイトテキストデータの処理に脆弱性があり、
攻撃者が任意の SQL コマンドを注入可能であることが発見されました。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-2314">CVE-2006-2314</a>
<p>同様の問題が、
バックスラッシュ文字で終わる正規のマルチバイト文字を含むクライアント側のエンコーディング
(例えば SJIS、BIG5、GBK、GB18030 および UHC など) にも存在します。
攻撃者が特殊な細工をしたバイト列を用いて任意の SQL コマンドを注入できてしまいます。</p>
<p>この問題は、1 バイトエンコーディング (SQL_ASCII や ISO-8859-X 類)
のみを用いている場合や、この問題の影響を受けないマルチバイトエンコーディング (UTF-8)
を用いている場合には、影響しません。</p>
<p>psycopg および python-pgsql は、バイナリデータに古いエンコーディングを用いており、
アップデートする必要があります。</p></li>
</ul>
<p>前安定版ディストリビューション (oldstable、コードネーム woody)
もこれらの問題の影響を受けますが、修正できませんでした。</p>
<p>安定版ディストリビューション (stable、コードネーム sarge)
では、これらの問題はバージョン 7.4.7-6sarge2 で修正されています。</p>
<p>不安定版ディストリビューション (unstable、コードネーム sid)
では、これらの問題はバージョン 7.4.13-1 で修正されています。</p>
<p>postgresql パッケージのアップグレードをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1087.data"
|