发布日期:. 2025-02-20
本次发布包含来自 16.7 的少量修复。 有关 16 主版本新特性的说明,请参见 Section E.14。
改进 libpq 引用函数的行为 (Andres Freund,Tom Lane) § § §
为 CVE-2025-1094 所做的修改有一个严重的疏忽: PQescapeLiteral() 和 PQescapeIdentifier() 未能遵守其字符串长度参数, 而是总是读取到输入字符串的末尾空字符。如果调用者打算通过长度参数截断字符串, 这会导致输出中包含不需要的文本。在极端情况下,可能因读取超出内存末尾而导致崩溃。
此外,修改了所有这些引用函数,使得当检测到无效编码时, 只对假定字符的第一个字节替换为无效序列,而不是全部字节。 这降低了调用应用程序对引用字符串进行额外处理时出现问题的风险。
修复 meson 构建系统以正确检测 bsd_auth.h 系统头文件的可用性(Nazir Bilal Yavuz) §