| Postgresql 9.0.23 문서화 | ||||
|---|---|---|---|---|
| 토토 꽁 머니 : 문서 : 9.0 : 릴리스 7.3.16 | up | 부록 E. 스포츠 토토 베트맨 노트 | 젠 토토 : 문서 : 9.0 : 릴리스 7.3.14 | |
출시 날짜 : 2006-05-23
이 릴리스에는 7.3.14의 다양한 수정 사항이 포함되어 있습니다. 매우 심각한 보안 문제에 대한 패치 포함.
7.3.x를 실행하는 사람들에게는 덤프/복원이 필요하지 않습니다. 그러나 더 일찍 버전에서 업그레이드하는 경우 7.3.13, 참조PostgreSQL :.
설명 된 SQL 주입 공격에 대한 전체 보안
CVE-2006-2313 및 CVE-2006-2314에는 변경이 필요할 수 있습니다
응용 프로그램 코드. 포함하는 응용 프로그램이있는 경우
신뢰할 수없는 문자열은 SQL 명령으로 검사해야합니다
그들이 사용하고 있는지 확인하기 위해 가능한 빨리
추천 된 탈출 기술. 대부분의 경우 응용 프로그램
라이브러리 또는 드라이버에서 제공하는 서브 루틴을 사용해야합니다
(와 같은libpq'sPQESCAPESTRINGCONN ()8499_8558ad
HOC그렇게하려면 코드.
서버를 변경하여 잘못 인코딩 된 멀티 바이트를 거부합니다 모든 경우의 캐릭터 (Tatsuo, Tom)
whilePostgreSQL한동안이 방향으로 움직이고 있습니다. 수표는 이제 모든 인코딩 및 모든 텍스트에 균일하게 적용됩니다 입력, 이제는 항상 경고가 아니라 오류입니다. 이것 변경은 유형의 SQL 주입 공격에 대한 방어됩니다 CVE-2006-2313에 설명.
안전하지 않은 용도 거부\ 'in 문자열 리터럴
SQL 주입 공격에 대한 서버 측 방어 CVE-2006-2314에 설명 된 유형 중 서버는 이제 수락''그리고 아님\ 'ASCII 단일 견적의 표현으로서 SQL 문자 리터럴에서. 기본적으로\ '만 거부됩니다.client_encoding는 클라이언트 전용으로 설정되었습니다 인코딩 (SJIS, BIG5, GBK, GB18030 또는 UHC)은 SQL 주입이 가능한 시나리오. 새로운 구성 매개 변수backslash_quote이를 조정할 수 있습니다 필요할 때 행동. 완전한 보안에 대한 주목하십시오 CVE-2006-2314에는 클라이언트 측 변경이 필요할 수 있습니다. 그만큼 의 목적backslash_quote불안한 고객이 분명하게 만들어주십시오 불안정한.
modifylibpq's 인코딩을 인식하기 위해 문자열 에스코핑 루틴 고려 사항
이것은 수정libpq-사용
설명 된 보안 문제에 대한 응용 프로그램
CVE-2006-2313 및 CVE-2006-2314. 사용하는 응용 프로그램
다수의postgresql연결은 동시에 마이그레이션해야합니다PQESCAPESTRINGCONN ()andpqescapebyteaconn ()각각에 사용되는 설정에 대한 탈출은 올바르게 수행됩니다.
데이터베이스 연결. 문자열 탈출을하는 응용 프로그램"손으로"대신 도서관 루틴에 의존합니다.
잘못된 인코딩 변환 기능 수정
Win1251_TO_ISO,
alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, MIC_TO_EUC_TW는 모두 가로 부러졌습니다
범위.
남아있는 길을 잃어버린\ 'In Strings (Bruce, Jan)
사용자 정의 DH SSL 매개 변수를 올바르게 사용하려면 서버를 수정하십시오 (Michael Fuhr)
다양한 작은 메모리 누출 수정