E.214.1. 버전 8.0.8로 마이그레이션

8.0.X를 실행하는 경우 덤프/복원이 필요하지 않습니다. 하지만, 8.0.6 이전 버전에서 업그레이드하는 경우 다음을 참조하세요.토토 커뮤니티 : 문서 : 9.3 : 릴리스 8.0.6.

다음에 설명된 SQL 주입 공격에 대한 완전한 보안 CVE-2006-2313 및 CVE-2006-2314에서는 다음 사항을 변경해야 할 수 있습니다. 애플리케이션 코드. 신뢰할 수 없는 내용이 포함된 애플리케이션이 있는 경우 문자열을 SQL 명령으로 변환하는 경우 즉시 검사해야 합니다. 권장되는 이스케이프를 사용하고 있는지 확인하는 것이 가능합니다. 기법. 대부분의 경우 애플리케이션은 서브루틴을 사용해야 합니다. 라이브러리 또는 드라이버에서 제공(예:libpq의PQescapeStringConn()) 문자열 이스케이프를 수행하려면, 의지하기보다는임시코드를 하세요.

E.214.2. 변경사항

• 잘못 인코딩된 멀티바이트를 거부하도록 서버를 변경하십시오. 모든 경우에 문자(Tatsuo, Tom)

  그동안포스트그레SQL이되었습니다 한동안 이 방향으로 움직이면 이제 검사가 적용됩니다. 모든 인코딩과 모든 텍스트 입력에 균일하게 적용되며 이제 단순한 경고가 아닌 항상 오류가 발생합니다. 이 변경 사항은 다음을 방어합니다. CVE-2006-2313에 설명된 유형의 SQL 삽입 공격입니다.

• 안전하지 않은 사용을 거부\'문자열에서 리터럴

  SQL 주입 공격에 대한 서버측 방어로서 CVE-2006-2314에 설명된 유형, 이제 서버는 다음만 허용합니다.''그리고 아님\'다음과 같이 SQL 문자열 리터럴의 ASCII 작은따옴표 표현입니다. 에 의해 기본,\'다음 경우에만 거부됩니다.클라이언트_인코딩클라이언트 전용으로 설정되어 있습니다 시나리오인 인코딩(SJIS, BIG5, GBK, GB18030 또는 UHC) SQL 주입이 가능한 곳입니다. 새로운 구성 매개변수백슬래시_quote조정이 가능합니다 필요할 때 이 동작을 수행합니다. 완전한 보안을 유지하세요. CVE-2006-2314에는 클라이언트측 변경이 필요할 수 있습니다. 목적백슬래시_quote부분적으로 그것을 만드는 것입니다 안전하지 않은 클라이언트는 안전하지 않다는 것은 명백합니다.

• 수정libpq의 문자열 이스케이프 인코딩 고려 사항을 인식하는 루틴 및standard_conforming_strings

  이 수정사항libpq-사용 중 CVE-2006-2313에 설명된 보안 문제에 대한 애플리케이션 및 CVE-2006-2314이며 계획된 버전에 대해 미래에도 대비할 수 있습니다. SQL 표준 문자열 리터럴 구문으로 전환됩니다. 다음과 같은 애플리케이션 여러 개 사용포스트그레SQL동시에 연결은 다음으로 마이그레이션되어야 합니다.PQescapeStringConn()그리고PQescapeByteaConn()탈출을 보장하기 위해 각 데이터베이스 연결에서 사용 중인 설정에 대해 올바르게 수행되었습니다. 문자열 이스케이프를 수행하는 애플리케이션"by 손"라이브러리 루틴에 의존하도록 수정되어야 합니다. 대신에.

• 일부 잘못된 인코딩 변환 기능 수정

  win1251_to_iso, alt_to_iso, euc_tw_to_big5, euc_tw_to_mic, mic_to_euc_tw모두 다양하게 손상되었습니다. 범위.

• 잘못된 남은 용도 정리\'에 문자열(브루스, 얀)

• 때때로 OR' 인덱스 스캔으로 인해 행이 누락되는 버그 수정 돌아왔어야 했어

• btree 인덱스가 있는 경우에 대한 WAL 재생 수정 잘림

• 수정유사함관련 패턴의 경우|(톰)

• 수정선택그리고다음으로 테이블 생성기본적으로 테이블을 생성하려면 기본 디렉터리가 아닌 테이블스페이스(Kris Jurka)

• 사용자 정의 DH SSL 매개변수를 올바르게 사용하도록 서버 수정(마이클 푸어)

• Intel Mac의 Bonjour 수정 사항(Ashley Clark)

• 다양한 사소한 메모리 누수 수정

• 일부 Win32 시스템에서 비밀번호를 묻는 문제 수정 (로버트 킨버그)