发布日期:. 2025-02-20
本次发布包含来自 15.11 的少量修复。 有关 15 主版本新特性的说明,请参见 Section E.18。
改进 libpq 引用函数的行为 (Andres Freund,Tom Lane) § § §
为 CVE-2025-1094 所做的更改有一个严重的疏忽: PQescapeLiteral() 和 PQescapeIdentifier() 未能遵循其字符串长度参数, 而是始终读取到输入字符串的结尾空字符。如果调用者打算通过长度参数截断字符串, 这会导致输出中包含不需要的文本。在极端情况下, 可能因读取超出内存末尾而导致崩溃。
此外,修改了所有这些引用函数,使其在检测到无效编码时, 仅替换被假定字符的第一个字节而非全部字节为无效序列。 这降低了调用应用程序对引用字符串进行额外处理时出现问题的风险。