Documentation PostgreSQL 8.0.25 | ||||
---|---|---|---|---|
Pr�c�dent | Arri�re rapide | Annexe E. Notes de version | Avance rapide | Suivant |
Date de sortie�: 2006-05-23
Cette version contient quelques corrections de la 8.0.7 incluant des correctifs pour des probl�mes de s�curit� extr�mement s�rieux. For information about new features in the 8.0 major release, see Section E.26.
Une sauvegarde/restauration n'est pas requise pour ceux utilisant une version 8.0.X. N�anmoins, si vous mettez � jour � partir d'une version ant�rieure � la 8.0.6, voir les notes de sortie de la 8.0.6.
Assurer une s�curit� compl�te contre les attaques par injection SQL d�crites
dans CVE-2006-2313 et CVE-2006-2314 peuvent demander des modifications dans
le code de l'application. Si vous avez des applications embarquant des
cha�nes non s�res dans des commandes SQL, vous devriez les examiner aussi
rapidement que possible pour vous assurer qu'elles utilisent les techniques
d'�chappement recommand�es. Dans la plupart des cas, les applications
devraient utiliser des sous-routines fournies par des biblioth�ques ou des
pilotes (comme PQescapeStringConn()
de libpq)
pour r�aliser l'�chappement des cha�nes plut�t que de se fier � un code
ad hoc.
Modification du serveur pour qu'il rejette les caract�res multi-octets mal cod�s dans tous les cas (Tatsuo, Tom)
Bien que PostgreSQL va dans cette direction depuis un certain temps, les v�rifications sont maintenant appliqu�es uniform�ment � tous les codages et toutes les entr�es de texte. Ce sont maintenant des erreurs, et non plus des messages d'avertissement. Ce changement sert � se d�fendre contre les attaques � base d'injection SQL du type d�crit dans CVE-2006-2313.
Rejette des utilisations non s�res de \' dans les cha�nes
En tant que d�fense c�t� serveur contre les attaques de type injection SQL d�crit dans CVE-2006-2314, le serveur accepte maintenant seulement '' et plus \' comme repr�sentation d'un guillemet simple ASCII dans des cha�nes SQL. Par d�faut, \' est rejett� seulement quand client_encoding est configur� avec un codage client seul (SJIS, BIG5, GBK, GB18030 ou UHC), qui est le sc�nario dans lequel l'injection SQL est possible. Un nouveau param�tre de configuration backslash_quote est disponible pour ajuster ce comportement si n�cessaire. Notez qu'une s�curit� compl�te contre CVE-2006-2314 pourrait n�cessiter des modifications du c�t� client ; le but de backslash_quote est en partie de rendre �vident que les clients non s�curis�s sont non s�curis�s.
Modification des routines d'�chappement de texte de libpq pour le rendre conscient des consid�rations de codage
Ceci corrige les applications utilisant libpq pour les
probl�mes de s�curit� d�crits dans CVE-2006-2313 et CVE-2006-2314. Les
applications qui utilisent les connections concurrentes multiples de
PostgreSQL devraient migrer vers PQescapeStringConn()
et PQescapeByteaConn()
pour s'assurer que l'�chappement est
r�alis� correctement pour les param�trages utilis�s dans chaque connexion de
base de donn�es. Les applications qui font des �chappements de cha�nes
<<�� la main�>> devraient �tre modifi�es pour se fier � aux routines de la
biblioth�ques � la place.
Correction de quelques fonctions de conversion de codage
win1251_to_iso
, alt_to_iso
,
euc_tw_to_big5
, euc_tw_to_mic
,
mic_to_euc_tw
�taient toutes cass�es � diff�rents niveaux.
Nettoyage des utilisations restantes et parasites de \' dans les cha�nes (Bruce, Jan)
Correction d'un bogue qui a quelque fois emp�ch� des parcours d'index OR de ramener les lignes ad�quates
Correction d'un replay WAL pour le cas o� un index btree a �t� tronqu�
Correction de SIMILAR TO pour les mod�les impliquant | (Tom)
Correction de SELECT INTO et CREATE TABLE AS pour cr�er des tables dans le tablespace par d�faut, et non pas dans le r�pertoire base (Kris Jurka)
Correction du serveur pour qu'il utilise les param�tres personnalis�s DH SSL correctement (Michael Fuhr)
Correction de Bonjour pour les Intel Macs (Ashley Clark)
Correction de quelques pertes m�moires mineures
Correction d'un probl�me pour la demande du mot de passe sur certains syst�mes Win32 (Robert Kinberg)
Pr�c�dent | Sommaire | Suivant |
Version 8.0.9 | Niveau sup�rieur | Version 8.0.7 |