E.49. Выпуск 12.5

Дата выпуска: 2020-11-12

В этот выпуск вошли различные исправления, внесённые после версии 12.4. За информацией о нововведениях версии 12 обратитесь к Разделу E.54.

E.49.1. Миграция на версию 12.5

Если используется версия 12.X, выгрузка/восстановление базы не требуется.

Если вы обновляете сервер с более ранней версии, чем 12.2, см. также Раздел E.52.

E.49.2. Изменения

  • Запрещение конструкции DECLARE CURSOR ... WITH HOLD и вызова отложенных триггеров в выражениях индексов и запросов матпредставлений (Ной Миш) §

    Устранённая уязвимость по сути позволяла выйти из защищённой среды, в которой выполняются «операции с ограничениями безопасности». Злоумышленник, имеющий право создания не временных SQL-объектов, мог воспользоваться этой уязвимостью для выполнения произвольного SQL-кода от имени суперпользователя.

    Проект PostgreSQL благодарит Этьена Сталманса за сообщение об этой проблеме. (CVE-2020-25695)

  • Исправление обработки сложных параметров в строках подключений в программах pg_dump, pg_restore, clusterdb, reindexdb и vacuumdb (Том Лейн) § §

    В аргументе -d программ pg_dump и pg_restore, а также в аргументе --maintenance-db других перечисленных программ может задаваться «строка подключения», содержащая не просто имя базы данных, но и другие параметры подключений. В случаях, когда эти программы должны были устанавливать дополнительные соединения, например, для параллельной обработки или работы с несколькими базами, строка соединения терялась, и для дополнительных подключений использовались только основные параметры (адрес и порт сервера, имя базы данных и имя пользователя). Это могло приводить к сбоям подключений, если строка подключения дополнительно содержала существенную информацию, например, изменённые параметры SSL или GSS. Хуже того, успешно установленное соединение могло оказаться незашифрованным (тогда как должно было шифроваться) или подверженным атакам с посредником (которые предотвращались бы при использовании заданных параметров). (CVE-2020-25694)

  • Обеспечение использования всех не переопределённых параметров из предыдущей строки соединения при выполнении команды psql \connect (Том Лейн) §

    Это исправление предотвращает ошибки переподключения, которые могли раньше возникать из-за упущения значимых параметров, например, параметров SSL или GSS. Хуже того, раньше переподключение могло произойти успешно, но при этом оказаться незашифрованным (тогда как должно было шифроваться) или подверженным атакам с посредником (которые предотвращались бы при использовании заданных параметров). По большому счёту это та же проблема, что и описанная выше проблема pg_dump и др., но в случае psql ситуация усложняется тем, что пользователь может намеренно переопределить некоторые параметры соединений. (CVE-2020-25694)

  • Недопущение изменения командой psql \gset специальных переменных (Ной Миш) §

    Команда \gset без префикса ранее переопределяла любые переменные по указанию сервера. Таким образом, скомпрометированный сервер мог установить переменную специального назначения, например PROMPT1, в результате чего было возможно выполнение произвольного кода оболочки в сеансе пользователя.

    Проект PostgreSQL благодарит Ника Клитона за сообщение об этой проблеме. (CVE-2020-25696)

  • Предотвращение возможной потери данных при параллельном усечении журналов SLRU (Ной Миш) § §

    Из-за этого редко проявлявшегося дефекта впоследствии могли выдаваться ошибки «apparent wraparound» (видимо, произошло зацикливание) или «could not access status of transaction» (не удалось получить состояние транзакции).

  • Обеспечение должного сохранения каталогов SLRU на диске во время контрольных точек (Томас Манро) §

    Тем самым предупреждается риск потери данных в случае последующего сбоя операционной системы.

  • Исправление поведения ALTER ROLE для пользователей, имеющих атрибут BYPASSRLS (Том Лейн, Стивен Фрост) §

    Атрибут BYPASSRLS у ролей могут изменять только суперпользователи, но другие действия ALTER ROLE, например смена пароля, должны разрешаться и непривилегированным пользователям с учётом обычных ограничений. Предыдущая реализация разрешала любые операции с ролью, имеющей такой атрибут, только суперпользователям.

  • Предотвращение воздействия ALTER TABLE ONLY ... ENABLE/DISABLE TRIGGER на дочерние таблицы (Альваро Эррера) §

    Ранее флаг ONLY не учитывался.

  • Исключение ненужного рекурсивного обращения к секциям в ALTER TABLE SET NOT NULL, когда целевой столбец уже помечен как NOT NULL (Том Лейн) §

    Тем самым устраняется риск взаимоблокировки при выполнении pg_restore в параллельном режиме.

  • Исправление обработки выражений CREATE TABLE LIKE с наследованием (Том Лейн) § §

    Если команда CREATE TABLE использует и традиционное наследование, и LIKE, ссылки на столбцы в ограничениях CHECK и выражениях индексов, приходящие из родительской таблицы LIKE, могли быть неправильно пронумерованы, вследствие чего выдавались некорректные результаты или странные сообщения об ошибках. То же самое могло наблюдаться с генерируемыми выражениями (в тех версиях, где они поддерживаются).

  • Недопущение выполнения DROP INDEX CONCURRENTLY с секционированной таблицей (Альваро Эррера, Микаэль Пакье) §

    Это действие и раньше прерывалось ошибкой, но её текст вызывал вопросы.

  • Устранение ошибки при выполнении LOCK TABLE с представлением, ссылающимся на себя (Том Лейн) §

    Ранее такие команды выдавали ошибку с сообщением о бесконечной рекурсии, однако они вполне могут выполняться успешно.

  • Сохранение статистики индекса в ходе REINDEX CONCURRENTLY (Микаэль Пакье, Фабрицио де Ройес Мелло) §

    Такая статистика всегда сохранялась при блокирующем перестроении индексов.

  • Исправление процедуры информирования о прогрессе операции REINDEX CONCURRENTLY (Маттиас ван де Меент, Микаэль Пакье) §

  • Пересчёт генерируемых столбцов (GENERATED) в случае изменения столбцов, от которых зависят первые, посредством правил или в изменяемом представлении (Том Лейн) §

    Это исправление также гарантирует в подобных случаях корректное срабатывание триггера, привязанного к столбцу.

  • Перепроверка ограничений секции по умолчанию при перенаправлении добавляемого или изменяемого кортежа в нужную секцию (Амит Ланготе, Альваро Эррера)

    Благодаря этому исправляется поведение в особых случаях при добавлении секций параллельно с добавлением строк в таблицу.

  • Устранение ошибок, возникавших с выражениями границ секций, зависящими от правил сортировки (Том Лейн) §

  • Поддержка хеширования текстовых массивов (Питер Эйзентраут) §

    Ранее хеширование массива было невозможно, если тип элемента массива был сортируемым. А именно, невозможно было использовать секционирование по хешу, если ключом секционирования был столбец с массивом текстовых элементов.

  • Исправление ошибки со сдвигом на один отрицательных значений, соответствующих годам до н. э. в функциях to_date() и to_timestamp() (Дар Альатар-Йемен, Том Лейн) §

    Кроме того, отрицательное значение года с явным указанием «BC» (до н. э.) теперь становится положительным, относящимся к н. э.

  • Обеспечение архивирования файлов истории линий времени вместе с WAL на ведомых серверах при выбранном в archive_mode режиме always (Григорий Смолкин, Фудзии Масао) §

    Вследствие устранённого теперь упущения можно было лишиться возможности восстановления на момент времени (PITR).

  • Устранение ошибки «cache lookup failed for relation 0» (ошибка поиска в кеше для отношения 0) в рабочих процессах логической репликации (Том Лейн) §

    Практические следствия этой ошибки незначительны, так как она весьма маловероятна, а в случае её возникновения рабочий процесс просто перезапускается.

  • Предотвращение передачи избыточных контрольных запросов процессами логической репликации (Том Лейн) §

  • Выполнение в процедуре отключения «smart» остановки фоновых процессов только после завершения всех клиентских сеансов (сеансов переднего плана) (Том Лейн) §

    С прежним поведением нарушалось выполнение параллельных запросов, так как управляющий процесс принудительно завершал процессы параллельных исполнителей и не запускал новые. Также при этом переставала работать автоочистка, что могло быть чревато большими проблемами, если продолжавшие существование клиентские сеансы вносили множество изменений данных.

  • Предупреждение переполнения стека при обработке сигналов в процессе postmaster (Том Лейн) §

    При активной параллельной обработке наблюдались сбои процесса postmaster по причине поступления слишком большого количества сигналов, запрашивающих создание параллельных исполнителей.

  • Недопущение вызова обработчиков atexit при выходе по сигналу SIGQUIT (Кётаро Хоригути, Том Лейн) § §

    Большинство серверных процессов уже отказались от этой практики, но процесс архиватора по недосмотру сохранил старое поведение. Также неправильно завершались процессы, находившиеся в состоянии ожидания стартового клиентского пакета.

  • Предотвращение неправильной оптимизации ограничений подзапроса, обращающихся к группирующим столбцам, которые представляются константами (Том Лейн) §

    «Константный» выходной столбец подзапроса в действительности не будет константой, если это группирующий столбец, фигурирующий только в некоторых из наборов группирования.

  • Устранение возможности сбоя при рассмотрении GEQO-оптимизатором соединений с учётом секционирования (Том Лейн) §

  • Предупреждение сбоя в случаях, когда внедрённая SQL-функция меняет форму потенциально хешируемого выражения сравнения для подплана (Том Лейн) §

  • Корректировка поведения в случае появления новых HOT-цепочек в ходе построения или перестроения индекса, когда одновременно происходит изменение данных (Анастасия Лубенникова, Альваро Эррера) § §

    В результате устранённого теперь упущения могли выдаваться ошибки «failed to find parent tuple for heap-only tuple» (не удалось найти родительский кортеж для HOT-кортежа).

  • Устранение сбоя при параллельном сканировании B-дерева в случае, когда условие индекса не удовлетворяется (Джеймс Хантер) §

  • Обеспечение распаковки данных перед добавлением их в индекс BRIN (Томаш Вондра) §

    В элементах индексов не должны содержаться указатели на внешние данные TOAST, однако в реализации BRIN это не учли. Вследствие этого могли возникать ошибки «missing chunk number 0 for toast value NNN» (отсутствует порция номер 0 для TOAST-значения NNN). (Если вы столкнулись с такой ошибкой в существующем индексе, для устранения её должно быть достаточно выполнить REINDEX.)

  • Корректировка обработки сброса обобщения в случае, когда он осуществляется одновременно со сканированием индекса BRIN (Александр Лахин, Альваро Эррера) §

    Ранее, если сброс обобщения зоны страниц происходил в неудачный момент времени, при сканировании индекса могла выдаваться ложная ошибка с сообщением о повреждении индекса.

  • Устранение редкой ошибки «lost saved point in index» (потеряна сохранённая точка в индексе) при сканировании составных индексов GIN (Том Лейн) §

  • Исправление буферизованного построения индексов GiST, содержащих неключевые столбцы (Павел Борисов) §

  • Исправление непереносимого использования getnameinfo() в реализации представления pg_hba_file_rules (Том Лейн) §

    Из-за ликвидированной теперь ошибки на FreeBSD 11 и возможно других платформах столбцы address и netmask в этом представлении всегда содержали null.

  • Предотвращение сбоя при запуске параллельных исполнителей, происходившего, когда переменная debug_query_string равна NULL (Ной Миш) §

  • Устранение риска использования памяти после освобождения при отслеживании в событийном триггере операции ALTER TABLE (Жеан-Гийом де Рорте) §

  • Предупреждение сбоев в ситуациях, когда триггер BEFORE ROW UPDATE просто возвращает «старую» строку таблицы с удалёнными или «отсутствующими» столбцами (Амит Ланготе, Том Лейн) § §

    При таком способе подавления изменений данных можно было получить сбои, неожиданные ошибки ограничений CHECK или неверные результаты с RETURNING, так как для этих целей «отсутствующие» столбцы воспринимаются как содержащие NULL. (В данном случае столбец считается «отсутствующим», если он был добавлен командой ALTER TABLE ADD COLUMN со значением по умолчанию, постоянным и отличным от NULL.) Также проблемы могли возникать с удалёнными столбцами.

  • Исправление некорректного сообщения об ошибке, выдаваемой при несовпадении типов движущегося агрегата (Джефф Джейнс) §

  • Устранение блокировки при получении от параллельного исполнителя очень большого сообщения об ошибке (Вигнеш Си) §

  • Избавление от неоправданной ошибки при передаче очень большого объёма данных через очереди в разделяемой памяти (Маркус Ваннер) §

  • Исправление некорректной обработки атрибутов шаблонных функций при генерировании JIT-кода (Андрес Фройнд) § §

    Сбои вследствие некорректной обработки наблюдались на платформе s390x, но вполне вероятно, что подобное могло иметь место и на других платформах.

  • Устранение утечек памяти в кеше отношений при использовании политик RLS (Том Лейн) §

  • Ликвидация утечки памяти в особых случаях в функции index_get_partition() (Джастин Призби) §

  • Устранение небольшой утечки памяти при обработке сигнала SIGHUP, возникавшей с новыми значениями GUC-переменных, которые нельзя изменить без перезагрузки (Том Лейн) §

  • Ликвидация утечек памяти при обработки команды CALL в PL/pgsql (Павел Стехуле, Том Лейн) §

  • Поддержка в libpq строк произвольной длины в файлах .pgpass (Том Лейн) § §

    Это прежде всего полезно, когда в качестве паролей сохраняются очень длинные защищённые ключи.

  • Отказ в libpq для Windows от вызовов WSACleanup() и сведение вызовов WSAStartup() к одному единственному для процесса (Том Лейн, Александр Лахин)

    Ранее libpq вызывала WSAStartup() при установлении каждого соединения, а WSACleanup() — при закрытии соединения. Однако как оказалось, вызов WSACleanup() может повлиять на другие операции программы, а именно, мы иногда наблюдали исчезновение ожидаемого вывода программы. По всей видимости, ликвидация этого вызова не должна иметь никаких побочных эффектов, поэтому он был удалён. (Это также способствует повышению производительности, если программа устанавливает множество подключений к серверу, так как она не будет постоянно загружать и выгружать DLL.)

  • Исправление логики инициализации потоков в библиотеке ecpg для Windows (Том Лейн, Александр Лахин) §

    Из-за некорректной установки блокировок многопоточные приложения ecpg при редком стечении обстоятельств могли работать некорректно.

  • Смена в Windows режима чтения вывода команды «обратный апостроф» в psql с двоичного на текстовый (Том Лейн) §

    Благодаря этому будут корректно обрабатываться символы новой строки.

  • Включение в pg_dump сбора информации о столбцах в таблицах конфигурации расширений (Фабрицио де Ройес Мелло, Том Лейн) § §

    Из-за отсутствия этой информации происходили сбои при загрузке данных таблицы, выгруженных с указанием --inserts или с неполными (хотя обычно корректными) командами COPY.

  • Обеспечение при параллельном выполнении pg_restore правильного порядка обработки внешних ключей, ссылающихся на секционированные таблицы (Альваро Эррера) §

    Ранее программа pg_restore могла попытаться восстановить ограничение внешнего ключа до восстановления всех необходимых индексов, что приводило к ошибке.

  • Добавление в pg_upgrade проверки существования каталогов табличных пространств в целевом кластере (Брюс Момджян) § §

  • Устранение возможности утечки памяти в contrib/pgcrypto (Микаэль Пакье) §

  • Добавление проверки на случай маловероятной ошибки во время выполнения в contrib/pgcrypto (Даниэль Густафссон) §

  • Исправление недавно добавленных в тесты проверок timetz, которые работали только когда в США действовало летнее время (Том Лейн) §

  • Обновление данных часовых поясов до версии tzdata 2020d, включающее изменение правил перехода на летнее время на Фиджи, в Марокко, Палестине, канадском Юконе, на острове Маккуори и на станции Кейси (Антарктика), а также корректировку исторических данных для Франции, Венгрии, Монако и Палестины. § §

  • Синхронизация нашей копии библиотеки timezone с выпущенной IANA версией tzcode 2020d (Том Лейн) § §

    С этой версией к нам попало изменение выбираемого по умолчанию формата вывода zic с «fat» (расширенный) на «slim» (минимальный). Для наших целей это не имеет практического значения, так как мы продолжаем использовать формат «fat» в версиях ниже 13. Также теперь гарантируется, что strftime() будет менять значение errno, только если произойдёт ошибка.