libpqの引用符付け関数の動作が改善されました。 (Andres Freund, Tom Lane) § § §

CVE-2025-1094に対する変更には、重大な見落としが1つありました。 PQescapeLiteral()とPQescapeIdentifier()は、文字列長パラメータを考慮せず、常に入力文字列の末尾のNULLを読み込んでいました。 その結果、呼び出し元が長さパラメータを介して文字列を切り捨てる意図があったとしても、出力に不要なテキストが含まれていました。 非常に運が悪いと、メモリの終端を読み込んでクラッシュが発生する可能性がありました。

さらに、これらの引用関数をすべて修正し、無効なエンコーディングが検出された場合に、想定される文字の全体ではなく最初のバイトのみ無効なシーケンスに置き換えます。 これにより、呼び出し元のアプリケーションが引用文字列に対して追加処理を実行した場合に問題が発生するリスクが軽減されます。

pg_createsubscriberの小さなメモリリークが修正されました。 (Ranier Vilela) §

Mesonビルドシステムでbsd_auth.hシステムヘッダが利用可能かどうかを正しく検出するように修正されました。 (Nazir Bilal Yavuz) §