E.33. Выпуск 12.21

Дата выпуска: 2024-11-14

В этот выпуск вошли различные исправления, внесённые после версии 12.21. За информацией о нововведениях версии 12 обратитесь к Разделу E.54.

Этот выпуск PostgreSQL должен стать последним в серии 12.X. Пользователям следует поторопиться с переходом на более новую основную версию.

E.33.1. Миграция на версию 12.21

Если используется версия 12.X, выгрузка/восстановление базы не требуется.

Если вы обновляете сервер с более ранней версии, чем 12.18, см. также Раздел E.36.

E.33.2. Изменения

  • Пометка кешированных планов как зависимых от выполняющих их ролей, когда защита на уровне строк (RLS) применяется для ссылки на таблицу не на верхнем уровне (Натан Боссарт) §

    Если общее табличное выражение (CTE), подзапрос, подссылка, представление с контекстом безопасности вызывающего или проекция приведения в запросе ссылались на таблицу с политикой защиты на уровне строк, результирующий план не помечался как потенциально зависимый от выполняющей его роли. Это могло приводить к тому, что последующие запросы в том же сеансе выполнялись с некорректным планом, а скрытые строки возвращались или возвращаемые скрывались.

    Проект PostgreSQL благодарит Вольфганга Вальтера за сообщение об этой проблеме. (CVE-2024-10976)

  • Библиотека libpq теперь игнорирует сообщения об ошибках, получаемые во время согласования протоколов SSL или GSS (Джейкоб Чемпион) §

    Злоумышленники могут подменять реальное выходное сообщение сервера об ошибке, получаемое до того, как завершено согласование криптографического протокола. Это может приводить к различным угрозам безопасности, например, злоумышленник может подменить результат запроса, а невнимательный пользователь спутает его с реальным результатом. Лучше всего игнорировать такие сообщения об ошибках и доверять только сообщениям libpq о сбое соединения.

    Проект PostgreSQL благодарит Джейкоба Чемпиона за сообщение об этой проблеме. (CVE-2024-10977)

  • Исправление нежелательного взаимодействия команд SET SESSION AUTHORIZATION и SET ROLE (Том Лейн) § §

    Согласно стандарту SQL, команда SET SESSION AUTHORIZATION имеет побочный эффект в виде выполнения команды SET ROLE NONE. Это было реализовано некорректно, что приводило к дополнительному нежелательному взаимодействию между двумя командами. В частности, откат транзакции, в которой была выполнена команда SET SESSION AUTHORIZATION, приводил к откату ROLE до NONE, даже если ранее было другое значение, и действующий идентификатор пользователя мог отличаться от идентификатора до выполнения транзакции. Временное включение session_authorization в предложении SET функции приводило к тому же результату. Дополнительная ошибка заключалась в том, что при исследовании current_setting('role') параллельным рабочим процессом он видел none, даже если должен был видеть иное значение.

    Проект PostgreSQL благодарит Тома Лейна за сообщение об этой проблеме. (CVE-2024-10978)

  • Запрет на изменение переменных окружения доверенным кодом PL/Perl (Эндрю Дунстан, Ной Миш) § § § §

    Возможность изменять переменные окружения процессов, такие как PATH, позволяет злоумышленнику выполнять произвольный код. Поэтому теперь это запрещено для «доверенных» процедурных языков. Чтобы исправить проблему с plperl, замените %ENV на связанный хеш, который запрещает вносить изменения с выводом предупреждения. Недоверенный язык plperlu сохраняет возможность изменять переменные окружения.

    Проект PostgreSQL благодарит Коби Абрамса за сообщение об этой проблеме. (CVE-2024-10979)

  • Запрет выполнения команды ALTER TABLE ATTACH PARTITION, если у присоединяемой таблицы есть внешний ключ, ссылающийся на секционированную таблицу (Альваро Эррера) § §

    Такая комбинация действий не поддерживается, и другие варианты её воспроизведения и ранее завершались ошибкой.

  • Запрет использования соединений или группировки с учётом секционирования, если сортировка в запросе для столбца ключа не соответствует сортировке ключа секционирования (Цзянь Хи, Веббо Хан) § §

    Такие планы ранее могли приводить к некорректным результатам.

  • Возможность отменять второй этап построения индекса для крупных хеш-индексов (Павел Борисов) §

  • Исправление сбоя проверочного утверждения или сбивающего с толку сообщения об ошибке выполнения команды COPY (запрос) TO ..., когда запрос переписывается правилом DO INSTEAD NOTIFY (Тендер Ван, Том Лейн) §

  • Исправление выявления асимметричных данных во время параллельного соединения по хешу (Томас Манро)

    После пересекционирования внутренней стороны соединения по хешу из-за слишком большого количества накопленных кортежей в одной секции проверялось, что все кортежи секции попадали в одну и ту же дочернюю секцию. Так предполагалось, что у всех кортежей одно хеш-значение и последующее пересекционирование не может привнести улучшений. В некоторых случаях эта проверка не работала, из-за чего выполнялось бессмысленное многократное пересекционирование, что в итоге приводило к ошибке исчерпания ресурсов.

  • Устранение условий гонки при фиксации сериализуемой транзакции (Хейкки Линнакангас) §

    Некорректная обработка недавно зафиксированной транзакции могла приводить к сбою проверочного утверждения или ошибке «could not access status of transaction» (не удалось получить состояние транзакции).

  • Устранение условий гонки при выполнении команды COMMIT PREPARED, которые приводили к наличию потерянных файлов двухфазной фиксации (2PC) (У Чэнвэнь) §

    Параллельное выполнение нескольких команд PREPARE TRANSACTION могло приводить к тому, что команда COMMIT PREPARED не удаляла файл состояния двухфазной фиксации на диске для завершённой транзакции. Мгновенно к негативным последствиям это не приводило, однако при последующем восстановлении после сбоя могла возникать ошибка «could not access status of transaction» (не удалось получить состояние транзакции), что требовало ручного удаления потерянного файла для восстановления службы.

  • Предотвращение некорректного обращения к памяти после пропуска нерабочего индекса TOAST во время выполнения команды VACUUM FULL (Тендер Ван) §

    Список, отслеживающий подлежащие перестройке индексы, некорректно обновлялся в этом месте кода, что могло приводить сбоям проверочных утверждений или отказам в будущем.

  • Исправление возможных потерь обновлений каталога «на месте» (Ной Миш) § § § § § § §

    При обычном обновлении строк новая версия строки записывается, чтобы сохранить возможность отката транзакции. Однако при обновлении некоторых системных каталогов транзакции намеренно не затрагиваются, и в таком случае строка обновляется на месте. Данное исправление устраняет условия гонки, которые могли приводить к потере обновлений на месте. Одним из примеров была потеря того, что для pg_class.relhasindex задано значение true, что приводило к невозможности обновления нового индекса и, следовательно, его повреждению.

  • Сброс кеша каталогов в конце процесса восстановления (Ной Миш) §

    Таким образом предотвращаются сценарии, при которых обновления каталога на месте могли быть потеряны из-за использования устаревших данных из кеша каталога.

  • Предотвращение параллельного выполнения запросов при сдерживании прерываний (Франческо Деграсси, Ной Миш, Том Лейн) § §

    С этой ситуацией невозможно было столкнуться во время обычной работы, но можно было воспроизвести при помощи тестовых сценариев, например использовав SQL-функцию в качестве опорной для B-дерева (что слишком медленно для промышленной эксплуатации). При успешном воспроизведении возникала ситуация бесконечного ожидания.

  • Защита от переполнения стека в libxml2, если вводные данные XML имеют слишком много уровней вложенности (Том Лейн с благодарностью Нику Велнхоферу)

    Теперь вместо функции xmlXPathCompile() используется xmlXPathCtxtCompile(), поскольку xmlXPathCompile() не защищает от переполнения стека при рекурсии в выпусках libxml2 ниже 2.13.4.

  • Исправление ошибки «failed to find plan for subquery/CTE» (не удалось найти план для подзапроса/CTE) при выполнении команды EXPLAIN (Ричард Гуо, Том Лейн) §

    Проблема возникала при попытке добавления ссылок в поля вывода типа RECORD подзапроса, когда подзапрос был исключён из плана в ходе оптимизации (что было возможно, по крайней мере, потому что условие WHERE постоянно не выполнялось). В плане не оставалось данных, позволяющих идентифицировать исходные имена полей, поэтому теперь для N-го столбца записи снова отображается fN. (В действительности это корректное поведение, если вывод типа RECORD является результатом конструкции ROW().)

  • Запрет предложения USING при изменении типа генерируемого столбца (Питер Эйзентраут) §

    У генерируемого столбца уже есть выражение с указанием содержимого столбца, поэтому включение предложения USING не имеет смысла.

  • Игнорирование ещё не определённых порталов в представлении pg_cursors (Том Лейн) §

    Определённый пользователем код, исследующий это представление, мог вызываться при настройке нового курсора. Если это случалось, происходило обращение по нулевому указателю. Проблема решена определением представления так, чтобы исключать курсоры, которые ещё не полностью настроены.

  • Уменьшение потребления памяти при логическом декодировании (Масахико Савада) §

    Теперь используется блок по умолчанию меньшего размера для хранения данных кортежей, получаемых во время логического декодирования. Таким образом снижается потеря памяти, которая, как сообщается, была существенной, возникала во время длительных транзакций и даже приводила к сбоям из-за нехватки памяти.

  • Повторное отключение отправки сеансовых билетов (TLSv1.2) без сохранения состояния (Даниэль Густафссон) §

    Предыдущее изменение, направленное на отключение отправки сеансовых билетов (TLSv1.3) с сохранением состояния, случайным образом влекло повторное включение отправки билетов без сохранения состояния. Из-за этого некоторые клиенты ошибочно полагали, что возобновление сессий TLS возможно.

  • Предотвращение ошибки «wrong tuple length» (некорректная длина кортежа) при удалении базы данных с большим числом записей в ACL (разрешений) (Аюш Тивари) § §

  • Возможность корректировать параметры session_authorization и role в параллельных рабочих процессах (Том Лейн) §

    В коде предусмотрено разрешение на изменение параметров сервера через предложения SET функций, но не другими способами внутри параллельного рабочего процесса. Однако ранее для двух этих параметров предложения SET не работали.

  • Исправление поведения стабильных функций, вызываемых из списка аргументов оператора CALL, где CALL находится в блоке EXCEPTION PL/pgSQL (Том Лейн) §

    Как и до исправления в предыдущем квартальном выпуске, таким функциям ранее передавался неправильный снимок, в результате чего они получали устаревшие значения строк, которые уже изменились с момента начала внешней транзакции.

  • Разбор параметра подключения keepalives в libpq так же, как и других целочисленных параметров (Юто Сасаки) §

    В используемом коде запрещались завершающие пробелы в значении параметра, в отличие от других случаев. Это оказалось проблемой, например, в использовании ecpg.

  • Исправление чтения за пределами выборки при разборе некорректных даты и времени в ecpglib (Брюс Момджян, Павел Некрасов) §

    Ранее было возможно попытаться считать расположение непосредственно перед началом константного массива. Однако практические следствия этой ошибки незначительны.

  • Включение исходной истории линии времени в вывод отладочных сообщений pg_rewind (Хейкки Линнакангас) §

    Так было задумано изначально, но из-за ошибки в коде вместо исходной истории всегда выводилась пустая строка.

  • Предотвращение попытки перестройки индексов временных таблиц, индексов в vacuumdb и при параллельной перестройке индексов с помощью reindexdb (Вайбхав С, Микаэль Пакье, Фудзии Масао, Натан Боссарт) § §

    Перестройка индексов временных таблиц других сеансов невозможна, но проверка на пропуск отсутствовала в некоторых местах кода, что вело к нежелательным сбоям.

  • Реализация проверки отношений последовательностей в соответствующих функциях contrib/pageinspect и contrib/pgstattuple (Натан Боссарт, Аюш Ватса) § §

    Такая проверка была реализована ранее, но работала некорректно после реализации нестандартных методов доступа для таблиц.

  • Исправление некорректного кода, генерируемого LLVM, на платформах ARM64 (Томас Манро, Антонин Боннефой) §

    При использовании JIT-компиляции на платформах ARM генерируемый код не поддерживал расстояния перемещения больше 32 бит, из-за чего он мог размещаться неудачно и вызывать сбои сервера в системах с большим объёмом памяти.

  • Исправление нескольких случаев, в которых допускалось, что время начала процесса (представленное time_t) уместится в значение типа long (Макс Джонсон, Натан Боссарт) §

    На платформах, где тип long вмещает 32 бита (особенно на Windows), после 2038 года произойдёт сбой. В основном он проявит себя косметически, но в особенности зависнет команда pg_ctl start.

  • Предотвращение сбоев «nothing provides perl(PostgreSQL::Test::Utils)» (отсутствует perl(PostgreSQL::Test::Utils)) во время сборки пакетов RPM PostgreSQL (Ной Миш) §

  • Исправление сборки с Strawberry Perl на Windows (Эндрю Дунстан) §

  • Обновление данных часовых поясов до версии tzdata 2024b (Том Лейн) § §

    В этом выпуске tzdata изменяются старые имена часовых поясов, совместимые с System V, теперь они дублируют соответствующие географические зоны. Например, PST8PDT теперь является псевдонимом для America/Los_Angeles. Единственное видимое последствие заключается в том, что для временных отметок до введения стандартизированных часовых поясов часовой пояс будет означать среднее солнечное время для заданного места. Например, в PST8PDT ввод с типом данных timestamptz, такой как 1801-01-01 00:00, раньше отображался как 1801-01-01 00:00:00-08, а теперь — как 1801-01-01 00:00:00-07:52:58.

    Кроме того, выполнены корректировки исторических данных для Мексики, Монголии и Португалии. Часовой пояс Asia/Choibalsan теперь является псевдонимом для Asia/Ulaanbaatar, а не отдельным часовым поясом, в основном потому что разница между ними, как оказалось, основана на недостоверных данных.