[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Translate] security/2002/dsa-165.wml



郷田です。

標題の訳を、添付にて投稿いたします。
ご査読宜しくお願いいたします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: 20057@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>いくつかのバッファオーバーフロー</define-tag>
<define-tag moreinfo>
<p>Mordred Labs および他の方々によって、PostgreSQL 
(オブジェクトリレーショナルな SQL データベース) にいくつかの脆弱性が
発見されました。これらの問題は、いくつかのバッファオーバーフローや
整数オーバーフローに起因するものです。
特別に細工を施した長い日時の情報、通貨、繰り返しデータ、長い
タイムゾーン名や、特別に作った lpad() や rpad() への入力データは
PostgreSQL サーバをクラッシュさせます。その他にも、circle_poly()、
path_encode() および path_addr でバッファ/整数オーバーフローが
発見されています。
</p>

<p>最後の三つ以外について、この問題は上流の PostgreSQL リリース 7.2.2
で修正されており、これが使用を推奨されているバージョンです。</p>

<p>これらの問題のうち大半は、Debian の旧安定版 (stable) で配布された
バージョンの PostgreSQL にはありません。これは、問題の関数がまだ
実装されていなかったためです。
しかし、PostgreSQL 6.5.3 はかなり古く、我々が気付いていない
バッファオーバーフローなどの問題を持つ危険性があり、また、
あなたのデータの整合性をおびやかすバグを確かに含んでいます。</p>

<p>そのため、今回の修正版のリリースを使用せずに、システムを Debian 3.0
(woody) にアップグレードし、収録されている PostgreSQL 7.2.1 を
代わりに使用することを強くお勧めします。このバージョンでは多くの
バグが修正されており、SQL 標準への互換性を向上させる新機能が
追加されています。
</p>

<p>アップグレードを検討される場合、データベース全体を、
pg_dumpall ユーティリティを用いてダンプするようにしてください。
また、新しい PostgreSQL は入力をより厳格に扱うことをご考慮ください。
これは、もともと有効ではなかった "foo = NULL" のようなテスト文は
新しいバージョンでは受け付けられないということです。
また、UNICODE エンコーディングを使用している場合、
ISO 8859-1 や ISO 8859-15 は、関係表にデータを挿入する際の
エンコーディングとしては無効になりました。
このような場合は、問題となっているダンプを<kbd>recode latin1..utf-16</kbd>
に変換することが推奨されます。</p>

<p>これらの問題は、安定版 (stable)(woody) ではバージョン 7.2.1-2woody2
で、不安定版 (unstable)(sid) ではバージョン 7.2.2-2 で各々修正
されています。
また、旧安定版 (potato) は、一部この問題の影響を受けるため、
修正されたバージョン 6.5.3-27.2 を配布しています。</p>

<p>PostgreSQL パッケージをアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-165.data"
# $Id: dsa-165.wml,v 1.2 2002/09/12 15:35:04 alfie Exp $