E.7. Выпуск 16.8#
E.7. Выпуск 16.8 #
Дата релиза: 2025-02-20
Этот выпуск содержит несколько исправлений из версии 16.7. Для получения информации о новых функциях в основном выпуске 16, см. Раздел E.15.
E.7.1. Миграция на версию 16.8 #
Снятие дампа/восстановление не требуется для тех, кто использует 16.X.
Однако, если обновление выполнялось с версии ранее 16.5, см. Раздел E.10.
E.7.2. Изменения #
Улучшено поведение функций экранирования libpq (Андрес Фройнд, Том Лейн) § § §
Изменения, внесенные для CVE-2025-1094, имели одно серьезное упущение:
PQescapeLiteral()
иPQescapeIdentifier()
не учитывали параметр длины строки, вместо этого всегда читая до завершающего нуля входной строки. Это приводило к включению нежелательного текста в вывод, если вызывающий намеревался обрезать строку с помощью параметра длины. При очень неудачном стечении обстоятельств это могло вызвать сбой из-за чтения за пределами памяти.Кроме того, все эти функции экранирования были изменены так, чтобы при обнаружении недопустимой кодировки недопустимая последовательность заменялась только первым байтом предполагаемого символа, а не всей последовательностью. Это снижает риск проблем, если вызывающее приложение выполняет дополнительную обработку экранированной строки.
Исправлена система сборки meson для правильного обнаружения доступности системного заголовка
bsd_auth.h
(Назир Билал Явуз) §