Security / 戯れ言

http://www.postgresql.org/docs/techdocs.50
via http://lwn.net/Articles/184760/rss
via http://traiss.tabesugi.net.nyud.net:8090/lwn.html

今日はこれで半日は潰れた……どうも単純なアップデートだと、アプリケーションによっては痛い目を見る気がします。

取るべき対策は

1. PostgreSQLサーバのアップデート
2. クライアント側のドライバのアップデート
3. いくつかのアプリでは、改修も必要

こんな感じでしょうか？

目を通しておくべきドキュメントは

http://www.postgresql.org/docs/techdocs.52

からリンクのある

FAQ
User's Guide
Technical Information on the Security Hole

の３つ。

このアップデートで、PostgreSQLサーバには

1. UTF-8, SJIS などマルチバイトなエンコードで、不正な文字コードをきちんとチェックするようになった。
2. default で、文字コードが SJIS, BIG5, GBK, GB1803, UHC の場合、エスケープ文字として "\" が使えなくした。

の２つの変更が加えられています。特に後者が曲者で、SJIS を使っており、なおかつエスケープ文字として "\" を利用しているようなアプリを書いてると、該当部分の書き直しが必要になるようです(あってるよね？)

ちなみに、このエスケープ文字の挙動に関しては

    * backslash_quote = on : Allow \' always (old behavior; INSECURE
    * backslash_quote = off : Reject \' always
    * backslash_quote = safe_encoding : Allow \' if client_encoding is safe

こんな感じで、以前の挙動に戻せたりするらしい。ちなみに前記したように、default の挙動は

backslash_quote = safe_encoding

だそうです。

アプリが動かなくなった！とか、クライアント側のドライバのアップデートが抜けてた！とかありそうな話だ……

ちなみになぜマルチバイトエンコードを利用して、SQL Injection が可能となるのか？それについては、上でも挙げた

Technical Information on the Security Hole

に、非常に詳しく書いてあるので、ご一読をお奨めします。そっか表か……

固定リンクコメント

2006-05-16 Tue

■ セキュアOSカンファレンス [Security]

第 4回セキュアOSカンファレンス
http://www.jssm.net/jssm/4secure-os/index.html

行きたいけど、ちょっとスケジュール的にきつそうだ(--;

固定リンクコメント

2006-05-15 Mon

■ mkpasswd [Security]

http://expect.nist.gov/example/mkpasswd.man.html

普段、よく pwgen を使ってますが、これもよさそう。

固定リンクコメント

2006-05-07 Sun

■ Camellia 暗号 for Python [Python][Security]

http://omake.accense.com/wiki/PythonCamellia

固定リンクコメント

2006-04-02 Sun

■ SQL Injection [Security]

http://www.cyberpolice.go.jp/server/rd_env/pdf/20060330_SQLInjection.pdf

via http://d.hatena.ne.jp/hanazukin/20060331#1143761163

IPA のドキュメントにも、どういう点に注意して Web アプリを書けば良いかが書いてあったけど、こっちは、もうちょっと具体的な攻撃手法について取り上げてある。あとでじっくり読もう。

固定リンクコメント

2006-03-08 Wed

■ 暗号ファイルを平文ファイルのように扱える Emacs Lisp [Emacs][Security]

Kazu さんが

http://www.mew.org/~kazu/proj/cipher/

で配布されている alpaca.el を使ってみる。gpg.el という名前で配布されていた時に試したことがあったんですが、いまいち使い方がよくわからず(動かず？)使用を断念。ふと思いだして、再度試してみることに。こいつは、".gpg" という拡張子の暗号ファイルを、平文ファイルのように扱えるらしい。使い方は簡単でダウンロードしたファイルを

# cp alpaca.el /usr/local/share/emacs/site-lisp/

以下を ~/.emacs に追加。

(autoload 'alpaca-after-find-file "alpaca" nil t)
(add-hook 'find-file-hooks 'alpaca-after-find-file)

あとは、

$ emacs hoge.gpg

と、普通のファイルのように編集してから、これまた普通のファイルのようにC-x C-s でファイルを保存しようとすると、パスフレーズを聞かれるので、適当なパスフレーズを入力すれば暗号ファイルとして保存されます。戻す時も、１度パスフレーズを聞かれるだけで、emacs を終了するまで、普通の平文ファイルとして扱えます。

これで管理すると、平文ファイルの消し忘れもないし、とっても便利 :-)

ただサイトの説明にもあるように、復号化された平文ファイルは、一時的に暗号ファイルと同じディレクトリに書き込まれます。このため、NFS などのネットワークファイルシステム上に置かれた暗号ファイルを直接編集しちゃだめなので、注意。

固定リンクコメント

カテゴリ：Security

■ JSONの危険性 [Security][Javascript]

■ sqlmap [Security]

■ Apache のログのアクセス権限の分離 [Apache][Security]

■ CSRF/XSRF [Security]

■ SE Linux on Debian in 5 minutes [Debian][Security]

■ 『それ Unicode で』 [Security]

■ セキュリティ対策に関する厳しい現実 [Security]

■ AAで図解！ずばり一目で全く解らないコンピュータセキュリティ [Security][ネタ]

■ 文字エンコーディング検証 [Security]

■ Webserver scan [Security]

■ データベースセキュリティガイドライン 第1.0版 [Security]

■ DNS逆引き撲滅委員会 [DNS][Security]

■ Snort ログ監視ツール [Security]

■ TCP/IP に係る既知の脆弱性 [Security]

■ PostgreSQL security releases [PostgreSQL][Security]

■ セキュアOSカンファレンス [Security]

■ mkpasswd [Security]

■ Camellia 暗号 for Python [Python][Security]

■ SQL Injection [Security]

■ 暗号ファイルを平文ファイルのように扱える Emacs Lisp [Emacs][Security]

■ データベースセキュリティガイドライン第1.0版 [Security]