$Id$

リリース日:2006/05/23

掲載日:2006/05/24

PostgreSQL 8.1.3から 8.1.4 の変更点

2006-05-24、バージョン8.1.4、8.0.8、7.4.13、7.3.15 のリリースがありました。以下に変更点をまとめます。各項目の末尾に適用されるバージョンを記載しております。本ドキュメントはPostgreSQLのリリースノート/HISTORYファイルを元に作成しています。

セキュリティに関する修正

※CVE(Common Vulnerabilities and Exposures)は非営利団体 MITRE Corporationによる脆弱性のリストに付けられる識別番号。http://cve.mitre.org/ で検索できます。 (今回の番号は現時点ではまだ under review の扱いです)

不具合の修正

contribツールの修正

その他の変更

8.1.4 で追加された設定パラメータ

backslash_quote (string)

この設定は、文字列リテラルの中のクオート(')が「\'」によって表されることができるかどうかを制御する。

記述方法としては、SQL標準のクオートを2つ重ねる('')方法が好ましいが、PostgreSQLでは歴史的に「\'」も受け入れてきた。しかしながら、「\'」を使うと、マルチバイト文字の終端バイトが ASCIIの「\」と同じ値であるような一部のクライアントエンコーディングでセキュリティーリスクが生じる。クライアント側で正しくエスケープできていない場合、SQLインジェクション攻撃が可能になる。この危険性はサーバでバックスラッシュ(\)でエスケープされたクオート(')を含むクエリーを拒否することで防ぐことができる。

backslash_quote を on にすると「\'」を常に許可し、off にすると「\'」を常に拒否する。また、safe_encoding と指定するとクライアントエンコーディングがマルチバイト文字の中にASCIIの「\」を含めることを許さない場合のみ「\'」によるエスケープを許可する。safe_encodingはデフォルトの設定である。


Copyright © 2005- SRA OSS, Inc. Japan All rights reserved.