| Postgresql 9.3.25 문서 | ||||
|---|---|---|---|---|
| 토토 사이트 순위 : 문서 : 9.3 : 릴리스 7.3.16 | PostgreSQL : 문서 : 9.3 : 메이저 토토 사이트 노트 | 부록 E. 스포츠 토토 결과 노트 | PostgreSQL : 문서 : 9.3 : 사설 토토 7.3.14 | |
출시 날짜 : 2006-05-23
이 릴리스에는 7.3.14의 다양한 수정 사항이 포함되어 있습니다. 매우 심각한 보안 문제에 대한 패치.
7.3.x를 실행하는 사람들에게는 덤프/복원이 필요하지 않습니다. 하지만, 7.3.13 이전 버전에서 업그레이드하는 경우 참조하십시오.PostgreSQL : 문서 : 9.3 : 사설 토토 사이트 7.3.13.
설명 된 SQL 주입 공격에 대한 전체 보안
CVE-2006-2313 및 CVE-2006-2314에는 변경이 필요할 수 있습니다
응용 프로그램 코드. 신뢰할 수없는 응용 프로그램이있는 경우
SQL 명령으로의 문자열, 즉시 검사해야합니다.
권장 도피를 사용하고 있는지 확인할 수 있습니다
기법. 대부분의 경우 응용 프로그램은 서브 루틴을 사용해야합니다
라이브러리 또는 드라이버가 제공합니다 (예 :libpq'sPQESCAPESTRINGCONN ()) 문자열 탈출을 수행하려면
의지하기보다는adhoc코드로
해요.
서버를 변경하여 잘못 인코딩 된 멀티 바이트를 거부합니다 모든 경우의 캐릭터 (Tatsuo, Tom)
whilePostgreSQL이 방향으로 한동안 이동하면 이제 수표가 적용됩니다. 모든 인코딩 및 모든 텍스트 입력과 균일하게 항상 경고뿐만 아니라 항상 오류가 발생합니다. 이 변화는 방어됩니다 CVE-2006-2313에 설명 된 유형의 SQL 주입 공격.
안전하지 않은 용도 거부\ '문자열 리터럴
SQL 주입 공격에 대한 서버 측 방어 CVE-2006-2314에 설명 된 유형은 이제 서버는 이제 만 허용입니다.''그리고\ 'AS SQL 문자 리터럴에서 ASCII 단일 견적 표현. 에 의해 기본,\ '만 거부됩니다.client_encoding는 클라이언트 전용으로 설정되었습니다 인코딩 (SJIS, BIG5, GBK, GB18030 또는 UHC),이 시나리오 SQL 주입이 가능합니다. 새로운 구성 매개 변수backslash_quote조정할 수 있습니다 필요할 때이 행동. 완전한 보안에 대한 주목하십시오 CVE-2006-2314에는 클라이언트 측 변경이 필요할 수 있습니다. 의 목적backslash_quote부분적으로 그것을 만들기위한 것입니다 불안한 고객이 안전하지 않다는 것이 분명합니다.
modifylibpq의 문자열 에스코핑 인코딩 고려 사항을 인식하는 루틴
이것은 수정libpq-사용
CVE-2006-2313 및
CVE-2006-2314. 다중 사용 응용 프로그램PostgreSQL동시에 연결해야합니다
으로 마이그레이션PQESCAPESTRINGCONN ()andpqescapebyteaconn ()각 데이터베이스에서 사용중인 설정에 대한 탈출은 올바르게 수행됩니다.
연결. 문자열 탈출을하는 응용 프로그램"손으로"라이브러리에 의존하도록 수정해야합니다
대신 일상.
잘못된 인코딩 변환 기능 수정
Win1251_TO_ISO, alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, MIC_TO_EUC_TW는 모두 가로 부러졌습니다
범위.
남아있는 길을 잃어버린\ 'in 문자열 (Bruce, Jan)
사용자 정의 DH SSL 매개 변수를 올바르게 사용하려면 서버 수정 (Michael fuhr)
다양한 작은 메모리 누출 수정
| 이전 | 배트맨 토토 : 문서 : 9.3 : 배트맨 토토 9.3.25 문서화 | 다음 |
| 릴리스 7.3.16 | PostgreSQL : 문서 : 9.3 : 메이저 토토 사이트 노트 | 릴리스 7.3.14 |