← Back to branch summary

~ubuntu-branches/ubuntu/oneiric/postgresql-9.1/oneiric-security

« back to all changes in this revision

Viewing changes to doc/src/sgml/html/release-7-4-13.html

  • Committer: Bazaar Package Importer
  • Author(s): Martin Pitt
  • Date: 2011-05-11 10:41:53 UTC
  • Revision ID: james.westby@ubuntu.com-20110511104153-psbh2o58553fv1m0
Tags: upstream-9.1~beta1
ImportĀ upstreamĀ versionĀ 9.1~beta1

Show diffs side-by-side

added added

removed removed

Lines of Context:
doc/src/sgml/html/release-7-4-13.html
 
1
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
 
2
<HTML
 
3
><HEAD
 
4
><TITLE
 
5
>Release 7.4.13</TITLE
 
6
><META
 
7
NAME="GENERATOR"
 
8
CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK
 
9
REV="MADE"
 
10
HREF="mailto:pgsql-docs@postgresql.org"><LINK
 
11
REL="HOME"
 
12
TITLE="PostgreSQL 9.1beta1 Documentation"
 
13
HREF="index.html"><LINK
 
14
REL="UP"
 
15
TITLE="Release Notes"
 
16
HREF="release.html"><LINK
 
17
REL="PREVIOUS"
 
18
TITLE="Release 7.4.14"
 
19
HREF="release-7-4-14.html"><LINK
 
20
REL="NEXT"
 
21
TITLE="Release 7.4.12"
 
22
HREF="release-7-4-12.html"><LINK
 
23
REL="STYLESHEET"
 
24
TYPE="text/css"
 
25
HREF="stylesheet.css"><META
 
26
HTTP-EQUIV="Content-Type"
 
27
CONTENT="text/html; charset=ISO-8859-1"><META
 
28
NAME="creation"
 
29
CONTENT="2011-04-27T21:20:33"></HEAD
 
30
><BODY
 
31
CLASS="SECT1"
 
32
><DIV
 
33
CLASS="NAVHEADER"
 
34
><TABLE
 
35
SUMMARY="Header navigation table"
 
36
WIDTH="100%"
 
37
BORDER="0"
 
38
CELLPADDING="0"
 
39
CELLSPACING="0"
 
40
><TR
 
41
><TH
 
42
COLSPAN="5"
 
43
ALIGN="center"
 
44
VALIGN="bottom"
 
45
><A
 
46
HREF="index.html"
 
47
>PostgreSQL 9.1beta1 Documentation</A
 
48
></TH
 
49
></TR
 
50
><TR
 
51
><TD
 
52
WIDTH="10%"
 
53
ALIGN="left"
 
54
VALIGN="top"
 
55
><A
 
56
TITLE="Release 7.4.14"
 
57
HREF="release-7-4-14.html"
 
58
ACCESSKEY="P"
 
59
>Prev</A
 
60
></TD
 
61
><TD
 
62
WIDTH="10%"
 
63
ALIGN="left"
 
64
VALIGN="top"
 
65
><A
 
66
TITLE="Release Notes"
 
67
HREF="release.html"
 
68
>Fast Backward</A
 
69
></TD
 
70
><TD
 
71
WIDTH="60%"
 
72
ALIGN="center"
 
73
VALIGN="bottom"
 
74
>Appendix E. Release Notes</TD
 
75
><TD
 
76
WIDTH="10%"
 
77
ALIGN="right"
 
78
VALIGN="top"
 
79
><A
 
80
TITLE="Release Notes"
 
81
HREF="release.html"
 
82
>Fast Forward</A
 
83
></TD
 
84
><TD
 
85
WIDTH="10%"
 
86
ALIGN="right"
 
87
VALIGN="top"
 
88
><A
 
89
TITLE="Release 7.4.12"
 
90
HREF="release-7-4-12.html"
 
91
ACCESSKEY="N"
 
92
>Next</A
 
93
></TD
 
94
></TR
 
95
></TABLE
 
96
><HR
 
97
ALIGN="LEFT"
 
98
WIDTH="100%"></DIV
 
99
><DIV
 
100
CLASS="SECT1"
 
101
><H1
 
102
CLASS="SECT1"
 
103
><A
 
104
NAME="RELEASE-7-4-13"
 
105
>E.122. Release 7.4.13</A
 
106
></H1
 
107
><DIV
 
108
CLASS="NOTE"
 
109
><BLOCKQUOTE
 
110
CLASS="NOTE"
 
111
><P
 
112
><B
 
113
>Release Date: </B
 
114
>2006-05-23</P
 
115
></BLOCKQUOTE
 
116
></DIV
 
117
><P
 
118
>   This release contains a variety of fixes from 7.4.12,
 
119
   including patches for extremely serious security issues.
 
120
   For information about new features in the 7.4 major release, see
 
121
   <A
 
122
HREF="release-7-4.html"
 
123
>Section E.135</A
 
124
>.
 
125
  </P
 
126
><DIV
 
127
CLASS="SECT2"
 
128
><H2
 
129
CLASS="SECT2"
 
130
><A
 
131
NAME="AEN123146"
 
132
>E.122.1. Migration to Version 7.4.13</A
 
133
></H2
 
134
><P
 
135
>    A dump/restore is not required for those running 7.4.X.  However,
 
136
    if you are upgrading from a version earlier than 7.4.11, see the release
 
137
    notes for 7.4.11.
 
138
   </P
 
139
><P
 
140
>    Full security against the SQL-injection attacks described in
 
141
    CVE-2006-2313 and CVE-2006-2314 might require changes in application
 
142
    code.  If you have applications that embed untrustworthy strings
 
143
    into SQL commands, you should examine them as soon as possible to
 
144
    ensure that they are using recommended escaping techniques.  In
 
145
    most cases, applications should be using subroutines provided by
 
146
    libraries or drivers (such as <SPAN
 
147
CLASS="APPLICATION"
 
148
>libpq</SPAN
 
149
>'s
 
150
    <CODE
 
151
CLASS="FUNCTION"
 
152
>PQescapeStringConn()</CODE
 
153
>) to perform string escaping,
 
154
    rather than relying on <I
 
155
CLASS="FOREIGNPHRASE"
 
156
>ad hoc</I
 
157
> code to do it.
 
158
   </P
 
159
></DIV
 
160
><DIV
 
161
CLASS="SECT2"
 
162
><H2
 
163
CLASS="SECT2"
 
164
><A
 
165
NAME="AEN123153"
 
166
>E.122.2. Changes</A
 
167
></H2
 
168
><P
 
169
></P
 
170
><UL
 
171
><LI
 
172
><P
 
173
>Change the server to reject invalidly-encoded multibyte
 
174
characters in all cases (Tatsuo, Tom)</P
 
175
><P
 
176
>While <SPAN
 
177
CLASS="PRODUCTNAME"
 
178
>PostgreSQL</SPAN
 
179
> has been moving in this direction for
 
180
some time, the checks are now applied uniformly to all encodings and all
 
181
textual input, and are now always errors not merely warnings.  This change
 
182
defends against SQL-injection attacks of the type described in CVE-2006-2313.</P
 
183
></LI
 
184
><LI
 
185
><P
 
186
>Reject unsafe uses of <TT
 
187
CLASS="LITERAL"
 
188
>\'</TT
 
189
> in string literals</P
 
190
><P
 
191
>As a server-side defense against SQL-injection attacks of the type
 
192
described in CVE-2006-2314, the server now only accepts <TT
 
193
CLASS="LITERAL"
 
194
>''</TT
 
195
> and not
 
196
<TT
 
197
CLASS="LITERAL"
 
198
>\'</TT
 
199
> as a representation of ASCII single quote in SQL string
 
200
literals.  By default, <TT
 
201
CLASS="LITERAL"
 
202
>\'</TT
 
203
> is rejected only when
 
204
<TT
 
205
CLASS="VARNAME"
 
206
>client_encoding</TT
 
207
> is set to a client-only encoding (SJIS, BIG5, GBK,
 
208
GB18030, or UHC), which is the scenario in which SQL injection is possible.
 
209
A new configuration parameter <TT
 
210
CLASS="VARNAME"
 
211
>backslash_quote</TT
 
212
> is available to
 
213
adjust this behavior when needed.  Note that full security against
 
214
CVE-2006-2314 might require client-side changes; the purpose of
 
215
<TT
 
216
CLASS="VARNAME"
 
217
>backslash_quote</TT
 
218
> is in part to make it obvious that insecure
 
219
clients are insecure.</P
 
220
></LI
 
221
><LI
 
222
><P
 
223
>Modify <SPAN
 
224
CLASS="APPLICATION"
 
225
>libpq</SPAN
 
226
>'s string-escaping routines to be
 
227
aware of encoding considerations and
 
228
<TT
 
229
CLASS="VARNAME"
 
230
>standard_conforming_strings</TT
 
231
></P
 
232
><P
 
233
>This fixes <SPAN
 
234
CLASS="APPLICATION"
 
235
>libpq</SPAN
 
236
>-using applications for the security
 
237
issues described in CVE-2006-2313 and CVE-2006-2314, and also future-proofs
 
238
them against the planned changeover to SQL-standard string literal syntax.
 
239
Applications that use multiple <SPAN
 
240
CLASS="PRODUCTNAME"
 
241
>PostgreSQL</SPAN
 
242
> connections
 
243
concurrently should migrate to <CODE
 
244
CLASS="FUNCTION"
 
245
>PQescapeStringConn()</CODE
 
246
> and
 
247
<CODE
 
248
CLASS="FUNCTION"
 
249
>PQescapeByteaConn()</CODE
 
250
> to ensure that escaping is done correctly
 
251
for the settings in use in each database connection.  Applications that
 
252
do string escaping <SPAN
 
253
CLASS="QUOTE"
 
254
>"by hand"</SPAN
 
255
> should be modified to rely on library
 
256
routines instead.</P
 
257
></LI
 
258
><LI
 
259
><P
 
260
>Fix some incorrect encoding conversion functions</P
 
261
><P
 
262
><CODE
 
263
CLASS="FUNCTION"
 
264
>win1251_to_iso</CODE
 
265
>, <CODE
 
266
CLASS="FUNCTION"
 
267
>alt_to_iso</CODE
 
268
>,
 
269
<CODE
 
270
CLASS="FUNCTION"
 
271
>euc_tw_to_big5</CODE
 
272
>, <CODE
 
273
CLASS="FUNCTION"
 
274
>euc_tw_to_mic</CODE
 
275
>,
 
276
<CODE
 
277
CLASS="FUNCTION"
 
278
>mic_to_euc_tw</CODE
 
279
> were all broken to varying
 
280
extents.</P
 
281
></LI
 
282
><LI
 
283
><P
 
284
>Clean up stray remaining uses of <TT
 
285
CLASS="LITERAL"
 
286
>\'</TT
 
287
> in strings
 
288
(Bruce, Jan)</P
 
289
></LI
 
290
><LI
 
291
><P
 
292
>Fix bug that sometimes caused OR'd index scans to
 
293
miss rows they should have returned</P
 
294
></LI
 
295
><LI
 
296
><P
 
297
>Fix WAL replay for case where a btree index has been
 
298
truncated</P
 
299
></LI
 
300
><LI
 
301
><P
 
302
>Fix <TT
 
303
CLASS="LITERAL"
 
304
>SIMILAR TO</TT
 
305
> for patterns involving
 
306
<TT
 
307
CLASS="LITERAL"
 
308
>|</TT
 
309
> (Tom)</P
 
310
></LI
 
311
><LI
 
312
><P
 
313
>Fix server to use custom DH SSL parameters correctly (Michael
 
314
Fuhr)</P
 
315
></LI
 
316
><LI
 
317
><P
 
318
>Fix for Bonjour on Intel Macs (Ashley Clark)</P
 
319
></LI
 
320
><LI
 
321
><P
 
322
>Fix various minor memory leaks</P
 
323
></LI
 
324
></UL
 
325
></DIV
 
326
></DIV
 
327
><DIV
 
328
CLASS="NAVFOOTER"
 
329
><HR
 
330
ALIGN="LEFT"
 
331
WIDTH="100%"><TABLE
 
332
SUMMARY="Footer navigation table"
 
333
WIDTH="100%"
 
334
BORDER="0"
 
335
CELLPADDING="0"
 
336
CELLSPACING="0"
 
337
><TR
 
338
><TD
 
339
WIDTH="33%"
 
340
ALIGN="left"
 
341
VALIGN="top"
 
342
><A
 
343
HREF="release-7-4-14.html"
 
344
ACCESSKEY="P"
 
345
>Prev</A
 
346
></TD
 
347
><TD
 
348
WIDTH="34%"
 
349
ALIGN="center"
 
350
VALIGN="top"
 
351
><A
 
352
HREF="index.html"
 
353
ACCESSKEY="H"
 
354
>Home</A
 
355
></TD
 
356
><TD
 
357
WIDTH="33%"
 
358
ALIGN="right"
 
359
VALIGN="top"
 
360
><A
 
361
HREF="release-7-4-12.html"
 
362
ACCESSKEY="N"
 
363
>Next</A
 
364
></TD
 
365
></TR
 
366
><TR
 
367
><TD
 
368
WIDTH="33%"
 
369
ALIGN="left"
 
370
VALIGN="top"
 
371
>Release 7.4.14</TD
 
372
><TD
 
373
WIDTH="34%"
 
374
ALIGN="center"
 
375
VALIGN="top"
 
376
><A
 
377
HREF="release.html"
 
378
ACCESSKEY="U"
 
379
>Up</A
 
380
></TD
 
381
><TD
 
382
WIDTH="33%"
 
383
ALIGN="right"
 
384
VALIGN="top"
 
385
>Release 7.4.12</TD
 
386
></TR
 
387
></TABLE
 
388
></DIV
 
389
></BODY
 
390
></HTML
 
391
>
 
 
b'\\ No newline at end of file'