Обновление всех версий PostgreSQL связанное с проблемой безопасности.

24.05.2006 14:57

В срочном порядке выпущены новые версии PostgreSQL 8.1.4, 8.0.8, 7.4.13 и 7.3.15.

Обновление связано с обнаружением серьезной проблемы безопасности, позволяющей осуществлять подстановку SQL запроса (SQL injection), используя некоторые клиентские приложения.

Проблема связана с возможностью передачи escape последовательности "\'" через некорректную компоновку символов в UTF-8 или других многобайтных кодировках (pg_escape_string в PHP без обновления не спасает). Для баз в которых данные представлены в однобайтных кодировках, таких как KOI8-R/cp1251 уязвимость не представляет опасности.

Внимание, теперь PostgreSQL отвергает вставку любых многобайтных символов содержащих ошибки, т.е. попытка вставки некорректных UTF-8 строк будет вызывать ошибку (такое встречается часто), о проверке стоит позаботится на уровне приложений. Кроме того прекращена поддержка экранирования вида "\'", теперь всегда нужно использовать представление "''".

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/7579-postgresql

Ключевые слова: postgresql, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (3)

RSS

1, Аноним (-), 16:31, 24/05/2006 [ответить]	+/–
UTF-8 - зло. И _очень_ жаль что из за него похерили '\' :(

4, Аноним (-), 12:14, 25/05/2006 [^] [^^] [^^^] [ответить]	+/–
Если зло - расскажи дорогой, как хранить в БД шаблон инструкции на русском, китайском, английском, французском, польском, украинском, иврите и арабском (на одном листе)?

3, Alex (??), 17:36, 24/05/2006 [ответить]	+/–
Не могу понять, чем разработчикам не понравился Сишный способ экранирования спец-символов, при помощи слеша?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: