출시일: 2006-05-23
이 릴리스에는 다음을 포함하여 8.0.7의 다양한 수정 사항이 포함되어 있습니다. 매우 심각한 보안 문제에 대한 패치입니다. 정보 8.0 주요 릴리스의 새로운 기능에 대해서는 다음을 참조하세요.섹션 E.122.
8.0.X를 실행하는 경우 덤프/복원이 필요하지 않습니다. 그러나 이전 버전에서 업그레이드하는 경우 8.0.6, 참조PostgreSQL : 문서 : 8.4 : 사설 토토 8.0.6.
다음에 설명된 SQL 주입 공격에 대한 완전한 보안
CVE-2006-2313 및 CVE-2006-2314에서는 다음 사항을 변경해야 할 수 있습니다.
애플리케이션 코드. 포함된 애플리케이션이 있는 경우
신뢰할 수 없는 문자열을 SQL 명령에 포함하려면 검사해야 합니다.
최대한 빨리 사용하고 있는지 확인하세요.
권장되는 탈출 기술. 대부분의 경우 애플리케이션은
라이브러리나 드라이버에서 제공하는 서브루틴을 사용해야 합니다.
(예:libpq의PQescapeStringConn()8121_8180광고
임시이를 수행하는 코드입니다.
잘못 인코딩된 멀티바이트를 거부하도록 서버를 변경하십시오. 모든 경우에 문자(Tatsuo, Tom)
그동안포스트그레토토 베이있음 한동안 이 방향으로 움직이고 있었기 때문에 수표는 이제 모든 인코딩과 모든 텍스트에 균일하게 적용됩니다. 이제 단순한 경고가 아닌 항상 오류입니다. 이 변경은 다음 유형의 SQL 주입 공격을 방어합니다. CVE-2006-2313에 설명되어 있습니다.
안전하지 않은 사용 거부\'에 문자열 리터럴
토토 베이 주입 공격에 대한 서버측 방어 CVE-2006-2314에 설명된 유형의 서버는 이제 받아들인다''그리고 아님\'ASCII 작은따옴표 표현 토토 베이 문자열 리터럴에서. 기본적으로,\'다음 경우에만 거부됩니다.client_encoding클라이언트 전용으로 설정되어 있습니다 인코딩(SJIS, BIG5, GBK, GB18030 또는 UHC) 토토 베이 주입이 가능한 시나리오. 새로운 구성 매개변수백슬래시_quote이것을 조정할 수 있습니다 필요할 때의 행동. 완전한 보안을 유지하세요. CVE-2006-2314에는 클라이언트측 변경이 필요할 수 있습니다. 는 목적백슬래시_quote다음에 있음 안전하지 않은 클라이언트가 안전하지 않습니다.
수정libpq의 인코딩을 인식하는 문자열 이스케이프 루틴 고려사항 및standard_conforming_strings
이 수정사항libpq-사용 중
에 설명된 보안 문제에 대한 응용 프로그램
CVE-2006-2313 및 CVE-2006-2314 및 미래 보장성
토토 베이 표준 문자열로의 계획된 전환에 반대합니다.
리터럴 구문. 여러 개를 사용하는 애플리케이션Postgre토토 베이동시 연결
다음으로 마이그레이션해야 합니다.PQescapeStringConn()그리고PQescapeByteaConn()다음을 보장하기 위해
각각에서 사용 중인 설정에 대해 이스케이프가 올바르게 수행되었습니다.
데이터베이스 연결. 문자열 이스케이프를 수행하는 애플리케이션"손으로"다음으로 수정되어야 합니다.
대신 라이브러리 루틴에 의존하세요.
일부 잘못된 인코딩 변환 기능 수정
win1251_to_iso,
alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, mic_to_euc_tw모두 다양하게 손상되었습니다.
범위.
잘못된 남은 용도 정리\'문자열로 (Bruce, Jan)
때때로 OR'd 인덱스 스캔이 누락되는 버그 수정 반환했어야 하는 행
btree 인덱스가 있는 경우에 대한 WAL 재생 수정 잘림
수정유사함패턴용 관련된|(톰)
수정선택그리고다음으로 테이블 생성테이블을 생성하려면 기본 디렉터리가 아닌 기본 테이블스페이스(Kris Jurka)
사용자 정의 DH SSL 매개변수를 올바르게 사용하도록 서버 수정 (마이클 퓨어)
Intel Mac의 Bonjour 수정 사항(Ashley Clark)
다양한 사소한 메모리 누수 수정
일부 Win32에서 비밀번호를 묻는 문제 수정 시스템(로버트 킨버그)