E.240.1. 버전 7.4.13으로의 마이그레이션

7.4.x를 실행하는 사람들에게는 덤프/복원이 필요하지 않습니다. 하지만, 7.4.11 이전 버전에서 업그레이드하는 경우 참조PostgreSQL : 문서 : 9.3 : 토토 사이트 순위 7.4.11.

설명 된 SQL 주입 공격에 대한 전체 보안 CVE-2006-2313 및 CVE-2006-2314에는 변경이 필요할 수 있습니다 응용 프로그램 코드. 신뢰할 수없는 응용 프로그램이있는 경우 SQL 명령으로의 문자열, 즉시 검사해야합니다. 권장 도피를 사용하고 있는지 확인할 수 있습니다 기법. 대부분의 경우 응용 프로그램은 서브 루틴을 사용해야합니다 라이브러리 또는 드라이버가 제공합니다 (예 :libpq'sPQESCAPESTRINGCONN ()) 문자열 탈출을 수행하려면 의지하기보다는adhoc코드로 해요.

E.240.2. 변화

• 서버를 변경하여 잘못 인코딩 된 멀티 바이트를 거부합니다 모든 경우의 캐릭터 (Tatsuo, Tom)

  whilepostgresql이 방향으로 한동안 이동하면 이제 수표가 적용됩니다. 모든 인코딩 및 모든 텍스트 입력과 균일하게 항상 경고뿐만 아니라 항상 오류가 발생합니다. 이 변화는 방어됩니다 CVE-2006-2313에 설명 된 유형의 SQL 주입 공격.

• 안전하지 않은 용도 거부\ '문자열 리터럴

  SQL 주입 공격에 대한 서버 측 방어 CVE-2006-2314에 설명 된 유형은 이제 서버는 이제 만 허용입니다.''그리고 아님\ 'AS SQL 문자 리터럴에서 ASCII 단일 견적 표현. 에 의해 기본,\ '만 거부됩니다.client_encoding는 클라이언트 전용으로 설정되었습니다 인코딩 (SJIS, BIG5, GBK, GB18030 또는 UHC),이 시나리오 SQL 주입이 가능합니다. 새로운 구성 매개 변수backslash_quote조정할 수 있습니다 필요할 때이 행동. 완전한 보안에 대한 주목하십시오 CVE-2006-2314에는 클라이언트 측 변경이 필요할 수 있습니다. 의 목적backslash_quote부분적으로 그것을 만드는 것입니다 불안한 고객이 안전하지 않다는 것이 분명합니다.

• modifylibpq의 문자열 에스코핑 인코딩 고려 사항을 인식하는 루틴 및Standard_Conforming_strings

  이것은 수정libpq-사용 CVE-2006-2313 및 CVE-2006-2314, 또한 계획된 것에 대해 미래를 보장합니다 SQL 표준 문자열 문자 문자 구문으로의 전환. 응용 프로그램 다중 사용PostgreSQL연결은 동시에 마이그레이션해야합니다PQESCAPESTRINGCONN ()andpqescapebyteaconn ()이스케이프를 보장합니다 각 데이터베이스 연결에서 사용중인 설정에 대해 올바르게 수행됩니다. 문자열 탈출을하는 응용 프로그램"에 의해 손"라이브러리 루틴에 의존하도록 수정해야합니다 대신에.

• 잘못된 인코딩 변환 기능 수정

  Win1251_TO_ISO, alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, MIC_TO_EUC_TW는 모두 다양한 부서가되었습니다 범위.

• 남은 사용을 정리하십시오\ 'in 문자열 (Bruce, Jan)

• 때때로 인덱스 스캔을 유발 한 버그를 수정하십시오 반환 했어야

• Btree 지수가있는 경우에 대한 WAL Replay를 수정 잘린

• 수정유사관련 패턴|(Tom)

• 사용자 정의 DH SSL 매개 변수를 올바르게 사용하려면 서버 수정 (Michael fuhr)

• Intel Mac (Ashley Clark)에서 Bonjour에 대한 수정

• 다양한 작은 메모리 누출 수정