| 사설 토토 9.0.23 문서 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.0 : 와이즈 토토 8.1.5 | 위로 | 부록 E. 사설 토토 노트 | PostgreSQL : 문서 : 9.0 : 스포츠 토토 베트맨 8.1.3 | |
출시일: 2006-05-23
이 릴리스에는 다음을 포함하여 8.1.3의 다양한 수정 사항이 포함되어 있습니다. 매우 심각한 보안 문제에 대한 패치입니다. 정보 8.1 주요 릴리스의 새로운 기능에 대해서는 다음을 참조하세요.섹션 E.119.
8.1.X를 실행하는 경우 덤프/복원이 필요하지 않습니다. 그러나 이전 버전에서 업그레이드하는 경우 8.1.2 참조PostgreSQL : 문서 : 9.0 : 롤 토토 8.1.2.
다음에 설명된 SQL 주입 공격에 대한 완전한 보안
CVE-2006-2313 및 CVE-2006-2314에서는 다음 사항을 변경해야 할 수 있습니다.
애플리케이션 코드. 포함된 애플리케이션이 있는 경우
신뢰할 수 없는 문자열을 SQL 명령에 포함하려면 검사해야 합니다.
최대한 빨리 사용하고 있는지 확인하세요.
권장되는 탈출 기술. 대부분의 경우 애플리케이션은
라이브러리나 드라이버에서 제공하는 서브루틴을 사용해야 합니다.
(예:libpq의PQescapeStringConn()7935_7994광고
임시이를 수행하는 코드입니다.
잘못 인코딩된 멀티바이트를 거부하도록 서버를 변경하십시오. 모든 경우에 문자(Tatsuo, Tom)
그동안포스트그레SQL있음 한동안 이 방향으로 움직이고 있었기 때문에 수표는 이제 모든 인코딩과 모든 텍스트에 균일하게 적용됩니다. 이제 단순한 경고가 아닌 항상 오류입니다. 이 변경은 다음 유형의 SQL 주입 공격을 방어합니다. CVE-2006-2313에 설명되어 있습니다.
안전하지 않은 사용을 거부\'에 문자열 리터럴
SQL 주입 공격에 대한 서버측 방어 CVE-2006-2314에 설명된 유형의 서버는 이제 받아들인다''그리고 아님\'ASCII 작은따옴표 표현 SQL 문자열 리터럴에서. 기본적으로,\'다음 경우에만 거부됩니다.client_encoding클라이언트 전용으로 설정되어 있습니다 인코딩(SJIS, BIG5, GBK, GB18030 또는 UHC) SQL 주입이 가능한 시나리오. 새로운 구성 매개변수백슬래시_quote이것을 조정할 수 있습니다 필요할 때의 행동. 완전한 보안을 유지하세요. CVE-2006-2314에는 클라이언트측 변경이 필요할 수 있습니다. 는 목적백슬래시_quote다음에 있음 안전하지 않은 클라이언트가 안전하지 않습니다.
수정libpq의 인코딩을 인식하는 문자열 이스케이프 루틴 고려사항 및standard_conforming_strings
이 수정사항libpq-사용 중
에 설명된 보안 문제에 대한 응용 프로그램
CVE-2006-2313 및 CVE-2006-2314 및 미래 보장성
SQL 표준 문자열로의 계획된 전환에 대비
리터럴 구문. 여러 개를 사용하는 애플리케이션사설 토토동시 연결
다음으로 마이그레이션해야 합니다.PQescapeStringConn()그리고PQescapeByteaConn()다음을 보장하기 위해
각각에서 사용 중인 설정에 대해 이스케이프가 올바르게 수행되었습니다.
데이터베이스 연결. 문자열 이스케이프를 수행하는 애플리케이션"손으로"다음으로 수정되어야 합니다.
대신 라이브러리 루틴에 의존하세요.
pgcrypto에서 취약한 키 선택 수정(Marko Kreen)
fortuna PRNG 재시드 논리 오류로 인해 다음이 발생할 수 있습니다.
다음에 의해 선택될 예측 가능한 세션 키pgp_sym_encrypt()어떤 경우에는. 이
OpenSSL을 사용하지 않는 빌드에만 영향을 미칩니다.
일부 잘못된 인코딩 변환 기능 수정
win1251_to_iso,
win866_to_iso, euc_tw_to_big5, euc_tw_to_mic, mic_to_euc_tw모두 다양하게 손상되었습니다.
범위.
잘못된 남은 용도 정리\'문자열로 (Bruce, Jan)
autovacuum을 다음에 표시pg_stat_activity(알바로)
비활성화full_page_writes(톰)
어떤 경우에는full_page_writes끄면 충돌이 발생합니다. 복구가 실패합니다. 8.2에서는 적절한 수정 사항이 나타날 것입니다. 지금은 단지 비활성화되어 있을 뿐입니다.
다양한 플래너 수정, 특히 비트맵 인덱스 관련 스캔 및 MIN/MAX 최적화(Tom)
병합 조인의 잘못된 최적화 수정(톰)
외부 조인은 때때로 다음의 여러 복사본을 생성할 수 있습니다. 일치하지 않는 행.
다음에서 plpgsql 함수 사용 및 수정으로 인한 충돌 수정 동일한 거래
B-트리 인덱스가 있는 경우에 대한 WAL 재생 수정 잘림
수정유사함패턴용 관련된|(톰)
수정선택그리고다음으로 테이블 생성테이블을 생성하려면 기본 디렉터리가 아닌 기본 테이블스페이스(Kris Jurka)
사용자 정의 DH SSL 매개변수를 올바르게 사용하도록 서버 수정 (마이클 퓨어)
qsort 성능 향상(Dann Corbit)
현재 이 코드는 Solaris에서만 사용됩니다.
x86 시스템의 OS/X Bonjour 수정 사항(Ashley Clark)
다양한 사소한 메모리 누수 수정
일부 Win32에서 비밀번호를 묻는 문제 수정 시스템(로버트 킨버그)
개선pg_dump의 도메인의 기본값 처리
수정pg_dumpall에 동일한 이름의 사용자 및 그룹을 합리적으로 처리합니다(만 8.1 이전 서버에서 덤프할 때 가능) (Tom)
사용자와 그룹은 하나의 역할로 병합됩니다 와 함께로그인허가. 이전 병합된 역할에는 없습니다.로그인권한으로 사용할 수 없게 됩니다. 사용자.
수정pg_restore -n문서화된 대로 작업하려면 (톰)