출시일: 2006-05-23
이 릴리스에는 7.3.14의 다양한 수정 사항이 포함되어 있습니다. 매우 심각한 보안 문제에 대한 패치를 포함합니다.
7.3.X를 실행하는 경우 덤프/복원이 필요하지 않습니다. 그러나 이전 버전에서 업그레이드하는 경우 7.3.13, 7.3.13 릴리스 노트를 참조하세요.
다음에 설명된 SQL 주입 공격에 대한 완전한 보안
CVE-2006-2313 및 CVE-2006-2314에서는 다음 사항을 변경해야 할 수 있습니다.
애플리케이션 코드. 포함된 애플리케이션이 있는 경우
신뢰할 수 없는 문자열을 SQL 명령에 포함하려면 검사해야 합니다.
최대한 빨리 사용하고 있는지 확인하세요.
권장되는 탈출 기술. 대부분의 경우 애플리케이션은
라이브러리나 드라이버에서 제공하는 서브루틴을 사용해야 합니다.
(예:libpq'sPQescapeStringConn()8357_8416광고
임시이를 수행하는 코드입니다.
잘못 인코딩된 멀티바이트를 거부하도록 서버를 변경하십시오. 모든 경우에 문자(Tatsuo, Tom)
그동안포스트그레SQL있음 한동안 이 방향으로 움직이고 있었기 때문에 수표는 이제 모든 인코딩과 모든 텍스트에 균일하게 적용됩니다. 이제 단순한 경고가 아닌 항상 오류입니다. 이 변경은 다음 유형의 SQL 주입 공격을 방어합니다. CVE-2006-2313에 설명되어 있습니다.
안전하지 않은 사용을 거부\'에 문자열 리터럴
SQL 주입 공격에 대한 서버측 방어 CVE-2006-2314에 설명된 유형의 서버는 이제 받아들인다''그리고 아님\'ASCII 작은따옴표 표현 SQL 문자열 리터럴에서. 기본적으로,\'다음 경우에만 거부됩니다클라이언트_인코딩클라이언트 전용으로 설정되어 있습니다 인코딩(SJIS, BIG5, GBK, GB18030 또는 UHC) SQL 주입이 가능한 시나리오. 새로운 구성 매개변수백슬래시_quote이것을 조정할 수 있습니다 필요할 때의 행동. 완전한 보안을 유지하세요. CVE-2006-2314에는 클라이언트측 변경이 필요할 수 있습니다. 는 목적백슬래시_quote다음에 있음 안전하지 않은 클라이언트가 안전하지 않습니다.
수정libpq의 인코딩을 인식하는 문자열 이스케이프 루틴 고려사항
이 수정사항libpq-사용 중
에 설명된 보안 문제에 대한 응용 프로그램
CVE-2006-2313 및 CVE-2006-2314. 다음을 사용하는 애플리케이션
여러포스트그레SQL동시에 연결은 다음으로 마이그레이션되어야 합니다.PQescapeStringConn()그리고PQescapeByteaConn()다음을 보장하기 위해
각각에서 사용 중인 설정에 대해 이스케이프가 올바르게 수행되었습니다.
데이터베이스 연결. 문자열 이스케이프를 수행하는 애플리케이션"손으로"다음으로 수정되어야 합니다.
대신 라이브러리 루틴에 의존하세요.
일부 잘못된 인코딩 변환 기능 수정
win1251_to_iso,
alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, mic_to_euc_tw모두 다양하게 손상되었습니다.
범위.
잘못된 남은 용도 정리\'문자열로 (Bruce, Jan)
사용자 정의 DH SSL 매개변수를 올바르게 사용하도록 서버 수정 (마이클 퓨어)
다양한 사소한 메모리 누수 수정