E.38. Выпуск 12.4

Дата выпуска: 2020-08-13

В этот выпуск вошли различные исправления, внесённые после версии 12.3. За информацией о нововведениях версии 12 обратитесь к Разделу E.42.

E.38.1. Миграция на версию 12.4

Если используется версия 12.X, выгрузка/восстановление базы не требуется.

Если вы обновляете сервер с более ранней версии, чем 12.2, см. также Раздел E.40.

E.38.2. Изменения

  • Назначение безопасного значения search_path в процессах, применяющих изменения, и процессах-передатчиках WAL, участвующих в логической репликации (Ной Миш)

    Злонамеренный пользователь, подключённый к базе подписчика или публикации, имел возможность запустить произвольный SQL-код от имени роли, осуществляющей репликацию (обычно это суперпользователь). Некоторые риски аналогичны ранее описанным в CVE-2018-1058, и в данном исправлении для их ликвидации приёмник и передатчик, участвующие в логической репликации, теперь устанавливают пустое значение search_path. (Как и с CVE-2018-1058, это изменение может вызывать проблемы при использовании неполных имён в определениях реплицируемых таблиц.) Другие риски связаны с реплицированием объектов, принадлежащих недоверенным ролям; лучшее, что с этим можно сделать, — описать эти угрозы в документации. (CVE-2020-14349)

  • Повышение уровня безопасности в установочных скриптах дополнительных модулей (Том Лейн)

    Атаки, подобные описанным в CVE-2018-1058, могли осуществляться и через установочный скрипт расширения, если злоумышленник мог создавать объекты либо в целевой схеме расширения, либо в схеме другого расширения, от которого зависит первое. Так как для установки расширения требуются права суперпользователя, это направление открывало для обычного пользователя возможность получения прав суперпользователя. Для устранения этого риска в установочных скриптах назначен безопасный путь search_path, отключён параметр check_function_bodies и исправлены имеющиеся в некоторых модулях в contrib запросы, модифицирующие каталог, в соответствии с требованиями безопасности. В документацию добавлена информация для разработчиков сторонних расширений, которая должна помочь им сделать свои установочные скрипты безопасными. Однако описанных мер может быть недостаточно — расширения, зависящие от других расширений, подвержены риску атаки при неосторожной установке. (CVE-2020-14350)

  • Исправление поведения в особых случаях при устранении секций (Эцуро Фудзита, Дмитрий Долгов)

    С ключами секционирования, состоящими из нескольких столбцов, при формировании условий устранения секций могли возникать ошибки, если для каких-либо из этих столбцов отсутствовало ограничение в WHERE или наоборот, ограничений было несколько. В результате могли быть получены неверные результаты запроса, также мог произойти крах сервера или сбой проверочного утверждения.

  • Корректировка планирования параметризованного индексного сканирования (узлов BitmapAnd и BitmapOr) с внутренней стороны соединения секционированных таблиц, реализуемого вложенным циклом (Том Лейн)

    При выполнении плана, в котором при таком сканировании требовалось получать значение с внешней стороны соединения, обычно происходил сбой.

  • Исправление ошибки выполнения плана в ситуации, когда устранение секций секционированной таблицы должно было производиться и статически, и во время выполнения, а при этом одновременно с выполнением запроса в таблицу добавлялась новая секция (Амит Ланготе, Том Лейн)

  • Ликвидация ошибки в передатчике WAL, в результате которой он переставал передавать сообщения обратной связи после передачи сообщения об активности (Альваро Эррера)

    Это не создавало больших проблем в случае использования встроенной логической репликации, так как встроенный приёмник WAL всё равно достаточно часто посылает ответные сообщения (и тем самым сбрасывает некорректное состояние). Но с некоторыми другими системами репликации, например pglogical, последствия были более серьёзными.

  • Исправление срабатывания триггеров UPDATE, привязанных к определённым столбцам, на стороне подписчиков логической репликации (Том Лейн)

    В прежней реализации не было учтено, что номера столбцов на стороне публикации и на стороне подписчика могут быть разными, и если они действительно различались, триггеры срабатывали некорректно.

  • Обновление значений старейших xmin и LSN во время pg_replication_slot_advance() (Микаэль Пакье)

    Ранее данная функция эти значения не пересчитывала, что могло препятствовать очистке ресурсов (например, мешало удалять ставшие ненужными сегменты WAL) после продвижения слота репликации вручную.

  • Устранение замедления ts_headline() (Том Лейн)

    Добавленное в предыдущем наборе корректирующих выпусков исправление фразового поиска могло провоцировать катастрофическое замедлению ts_headline() при обработке больших документов; мало того, запрос, выполнение которого заходило в проблематичный цикл, нельзя было отменить.

  • Обеспечение возможности прерывания функции repeat() при отмене запроса (Джо Конвей)

  • Добавление в pg_current_logfile() символа возврата каретки (\r) в результат, выдаваемый в Windows (Том Лейн)

  • Чтение в pg_read_file() (и связанных функциях) входного файла до достижения EOF (Джо Конвей)

    Ранее, в отсутствие явного указания длины, эти функции выполняли чтение до размера файла, полученного от функции stat(). Однако этот вариант не подходит для каналов и разного рода виртуальных файлов.

  • Недопущение использования числовых значений NaN в вычислениях jsonpath (Александр Коротков)

    Ни в SQL, ни в JSON не существует понятия NaN (not-a-number, «не число»), но реализация jsonpath тем не менее допускала такие значения. Это неизбежно проявлялось в нестандартном поведении, поэтому лучше полностью запретить эти значения.

  • Исправление обработки единичных значений Inf или NaN, поступающих на вход агрегатам, принимающим числа с плавающей точкой (Том Лейн)

    Это исправление касается агрегатных функций corr(), covar_pop(), regr_intercept(), regr_r2(), regr_slope(), regr_sxx(), regr_sxy(), regr_syy(), stddev_pop() и var_pop(). При получении одного из этих значений на вход они должны выдавать NaN, но в результате изменения алгоритма в PostgreSQL версии 12 они ошибочно выдавали ноль.

  • Корректировка обработки значений NaN при параллельном агрегировании данных по столбцам типа numeric (Том Лейн)

    Если некоторые рабочие процессы, выполняющие частичное агрегирование, находили в своих данных только NaN, а другие наоборот, NaN не находили, их результаты объединялись некорректно, вследствие чего мог быть некорректным и общий результат (то есть это не было ожидаемое значение NaN).

  • Недопущение указания в качестве времени дня значений, превышающих 24 часа (Том Лейн)

    Код ввода даты/времени был намеренно написан так, чтобы этот тип принимал время «24:00:00» или равнозначное ему «23:59:60», но не большие значения. Однако проверка интервала была не очень точной, и в результате также допускались значения «23:59:60.nnn» с ненулевой дробной частью секунд nnn. Таким образом, результирующее значение даты/времени оказывалось в первой секунде следующего дня. С типами же time и timetz сохранённые значения фактически выходили за 24 часа, вследствие чего могли иметь место проблемы при выгрузке/восстановлении данных и другие нежелательные эффекты.

  • Отказ от заключения в двойные кавычки имён индексов в выходных форматах EXPLAIN, отличных от текстового (Том Лейн, Эйлер Тавейра)

  • Исправление в EXPLAIN учёта использования ресурсов, в частности, обращений к буферам в параллельных исполнителях при выполнении плана с узлами Gather Merge (Жеан-Гийом де Рорте)

  • Выбор другого момента для перепроверки ограничения в процедуре ALTER TABLE (Дэвид Роули)

    В некоторых случаях, когда при выполнении ALTER TABLE необходимо полностью переписать содержимое таблицы (например, потому что изменился тип данных столбца) и при этом просканировать таблицу, чтобы перепроверить внешние ключи или ограничения CHECK, действия выполнялись в неправильном порядке, что могло проявляться в странных ошибках вида «could not read block 0 in file "base/nnnnn/nnnnn": read only 0 of 8192 bytes» (не удалось прочитать блок 0 в файле "base/nnnnn/nnnnn" (прочитано байт: 0 из 8192)).

  • Сохранение при выполнении REINDEX CONCURRENTLY флага идентификации реплики у обрабатываемого индекса (Микаэль Пакье)

    Ранее в результате переиндексирования индекса, помеченного как идентификатор реплики, этот признак терялся, вследствие чего старые значения кортежей не включались в последующий вывод логического декодирования.

  • Косвенное исправление некорректной пометки полей pg_subscription.subslotname и pg_subscription_rel.srsublsn как NOT NULL (Том Лейн)

    В данных начальной загрузки каталога эти два поля в каталоге были некорректно помечены как не принимающие NULL. В существующих инсталляциях исправить эту ошибку простым способом нельзя (тогда как для версии 13 и последующих пометка скорректирована). Корректность этих пометок оказалась важна прежде всего в JIT-процедуре разбора кортежей, в неё и пришлось добавить явное переопределение пометок для этих двух столбцов. Также скорректирован код на C, который обращался к srsublsn, не проверяя отличие этого значения от null; сбой в этом месте был маловероятен, но всё же не исключён.

  • Исправление обработки ссылок LATERAL в условиях, связанных с неразворачиваемым вложенным SELECT в предложении FROM (Том Лейн)

    Следствием исправленного теперь упущения мог быть крах сервера или сбой проверочного утверждения во время выполнения соответствующего запроса.

  • Использование правила сортировки, выбранного для запроса, при выполнении операторов в процедуре оценки избирательности (Том Лейн)

    Ранее использовалось правило сортировки нижележащего столбца в базе. Однако по логике в этом случае правильнее использовать правило сортировки, установленное для запроса. Что ещё важнее, теперь, когда существуют недетерминированные правила сортировки, возможны случаи, когда оператор вообще не сработает, если для него будет выбрано такое правило. Мы не хотели бы разрабатывать план ошибки в случаях, когда сам запрос должен был бы выполниться успешно, поэтому, вызывая операторы для целей оценки избирательности, мы должны использовать то правило сортировки, которое выбрано для данного запроса.

  • Отказ от предположения об отсутствии кортежей в сторонних таблицах, которые ещё не анализировались (Том Лейн)

    Ошибочное предположение, прежде всего, сказывалось на оценке планировщиком количества групп, которое должно быть получено с GROUP BY.

  • Удаление ненужного предупреждения об «оставшемся кортеже-местозаполнителе» при сбросе обобщения индекса BRIN (Альваро Эррера)

    Эта ситуация вполне возможна и ожидаема после отмены очистки, поэтому данное предупреждение было скорее лишним шумом.

  • Корректировка выбора табличных пространств для временных файлов из «общего набора» (Магнус Хагандер, Том Лейн)

    В случаях, когда параметр temp_tablespaces не задавался или содержал имя первичного табличного пространства базы, такие файлы оказывались в табличном пространстве pg_default, тогда как должны были размещаться в первичном пространстве.

  • Устранение дефекта, проявлявшегося в особом случае, при маскировании страниц индекса SP-GiST во время проверок целостности WAL (Александр Коротков)

    Вследствие этого дефекта могли выдаваться некорректные сообщения об ошибках при включённом параметре wal_consistency_checking.

  • Улучшение обработки ошибок в серверном модуле buffile (Томас Манро)

    Исправлено поведение в некоторых случаях, когда ошибки ввода/вывода не считались отличными от достижения конца файла или вообще игнорировались. Также в те сообщения, где это уместно, добавлены детали: номера блоков и количества байтов.

  • Устранение аномалий при проверке конфликтов в режиме изоляции SERIALIZABLE (Питер Гейган)

    Когда добавляемый параллельно кортеж изменяется ещё одной параллельной транзакцией и ни одна версия кортежа не видна в снимке текущей транзакции, при проверке конфликта сериализации могло возникнуть неверное представление о том, как этот кортеж соотносится с результатами текущей транзакции. В итоге сериализуемая транзакция могла успешно зафиксироваться, тогда как она должна отменяться с ошибкой сериализации.

  • Предотвращение многократной пометки «мёртвых» элементов в индексе btree, уже имеющих такую пометку (Масахико Савада)

    Хотя это никак не вредило функциональности, в режиме включённых контрольных сумм или при включении wal_log_hints в журнал WAL вносились ненужные записи.

  • Игнорирование запросов синхронизации файлов в процессе checkpointer при выключенном fsync

    Такие запросы обрабатываются как пустые при выключении fsync, но мы забыли исключить их из таблицы запланированных действий процесса checkpointer. Это приводило к раздуванию этой таблицы, а кроме того, при последующем включении fsync был возможен сбой проверочного утверждения.

  • Устранение проблемы во время завершения немонопольного резервного копирования в случае включения JIT-компиляции во время копирования (Роберт Хаас)

  • Окружение блокировками операций с файлом pg_control в тех местах кода, где таких блокировок не хватало (Натан Боссарт, Фудзии Масао)

    В результате упущения файл pg_control мог быть перезаписан с неверной контрольной суммой, что могло создать проблемы впоследствии, вплоть до невозможности запустить базу данных в случае сбоя сервера до следующего изменения pg_control.

  • Исправление ошибок в currtid() и currtid2() (Микаэль Пакье)

    В этих функциях (недокументированных и используемых только старыми версиями драйвера ODBC) нашлись дефекты, которые могли приводить к краху сервера или к странным сообщениям вида «could not open file» (не удалось открыть файл) при попытке использования этих функций с отношениями, не хранящимися на диске.

  • Очистка кода от недопустимых конструкций, в которых elog() или palloc() вызываются при установленной циклической блокировке (Микаэль Пакье, Том Лейн)

    В логике, связанной со слотами репликации, обнаружилось несколько подобных конструкций. Хотя вероятность проявления проблемы мала, ошибка в вызванной функции могла приводить к зависанию блокировки.

  • Исправление проверочного утверждения в подписчике логической репликации, не позволявшего использовать REPLICA IDENTITY FULL (Эйлер Тавейра)

    Ошибка была исключительно в проверочном утверждении, так что в обычных выпускаемых сборках она никак не проявлялась.

  • Добавление в libpq чтения сокета, подключённого к серверу, после ошибки записи (Том Лейн)

    Это важно не только потому, что таким образом будет получено последнее сообщение об ошибке от прерванного серверного процесса, но и потому, что соединение не считается потерянным, пока не произойдёт ошибка чтения. Вследствие устранённого теперь упущения, код libpq в случае потери соединения во время передачи продолжал передавать данные COPY без остановки, вместо того, чтобы сообщить приложению об ошибке.

  • Исправление ошибок в коде libpq, управляющем состоянием шифрования GSS (Том Лейн)

    Подключение, использующее шифрование GSS, могло зависнуть при попытке сбросить его после перезапуска сервера или при переходе к следующему серверу в списке из нескольких кандидатов.

  • Устранение сбоя в ecpg при работе с переменными типа bytea и курсорами (Жеан-Гийом де Рорте)

  • Исправление сообщений об ошибках при нехватке места, выдаваемых программами pg_dump и pg_basebackup (Джастин Призби, Том Лейн, Альваро Эррера)

    В некоторых местах кода выдавались нелепые сообщения вида «could not write file: Success» (не удалось записать файл: Успех).

  • Реализация в pg_restore возможности работать с архивными файлами специального формата, не содержащими смещений данных, когда возникает необходимость восстанавливать данные в произвольном порядке (Дэвид Гилман, Том Лейн)

    pg_dump выдаёт такие файлы, когда перемещение в выходном потоке невозможно (например, если вывод направляется через канал в другое приложение). Это исправление добавляет возможность параллельного восстановления данных из такого файла.

  • Исправление параллельного восстановления таблиц, для которых заданы права доступа и на уровне таблицы, и на уровне столбцов (Том Лейн)

    Назначения прав на уровне таблицы должны применяться в первую очередь, но при параллельном восстановлении порядок назначения прав не гарантировался, и поэтому могли возникать ошибки «tuple concurrently updated» (кортеж изменён параллельно) или исчезали некоторые назначения прав на уровне столбцов. Это исправление заключается в добавлении зависимостей между такими элементами в файле архива; это означает, что для предотвращения проблемы необходимо сделать новую копию базы с применением исправленного pg_dump.

  • Установка при выполнении pg_upgrade нулевого значения vacuum_defer_cleanup_age в целевом кластере (Брюс Момджян)

    Если конфигурация целевого кластера была изменена и параметру vacuum_defer_cleanup_age было присвоено ненулевое значение, это мешало корректно заморозить кортежи в системных каталогах, вследствие чего обновление могло прерваться странным образом. Теперь гарантируется, что данный параметр получает подходящее значение на время обновления.

  • Добавление в pg_recvlogical цикла чтения всех ожидающих обработки сообщений перед штатным завершением (Ной Миш)

    Если эти сообщения не получить, передатчик данных репликации может обнаружить сбой при передаче и завершиться, не установив нужную позицию LSN для слота репликации. Вследствие этого, данные повторно передавались при следующем подключении. Также могли быть пропущены сообщения об ошибках, переданные после последних данных, подлежащих обработке программой pg_recvlogical.

  • Исправление в pg_rewind реакции на исчезновение файлов в исходном каталоге данных (Джастин Призби, Микаэль Пакье)

    Когда в качестве исходной используется работающая база данных, удаления файлов возможны в любой момент времени, но программа pg_rewind приходила в замешательство, вызывая stat() для файла, который исчезал после того, как был просканирован содержащий его каталог.

  • Переключение pg_test_fsync в двоичный режим ввода/вывода в Windows (Микаэль Пакье)

    Ранее эта утилита записывала тестовый файл в текстовом режиме, что не соответствует фактическому поведению PostgreSQL.

  • Ликвидация в contrib/amcheck ошибок при обнаружении удалённых индексных страниц, которые оказываются пустыми (Александр Коротков)

    Такое состояние дел является обычным при воспроизведении WAL.

  • Исправление дефекта при инициализации локального состояния в contrib/dblink (Джо Конвей)

    При определённых обстоятельствах он мог приводить к тому, что функция dblink_close(), вопреки ожиданиям, выполняла на удалённой стороне COMMIT.

  • Исправление в contrib/pgcrypto ошибочного использования deflate() (Том Лейн)

    Функции pgp_sym_encrypt могли выдавать неправильные сжатые данные вследствие нарушения требований API zlib. Нам не сообщали о проявлениях этой ошибки со стандартной библиотекой zlib, но они определённо наблюдаются с библиотекой zlibNX, разработанной IBM.

  • Устранение ошибки в алгоритме распаковки данных в функциях pgp_sym_decrypt модуля contrib/pgcrypto, проявлявшейся в особом случае (Кётаро Хоригути, Микаэль Пакье)

    Поток сжатых данных вполне может заканчиваться пустым пакетом, но функция распаковки не принимала это и выдавала сообщение об испорченных данных.

  • Обеспечение поддержки нашего кода NLS с Microsoft Visual Studio 2015 или новее (Хуан Хосе Сантамария Флеча, Давиндер Сингх, Амит Капила)

  • Предупреждение возможного сбоя в нашем установочном скрипте для MSVC в случае наличия файла configure на несколько уровней выше каталога с исходным кодом (Арнольд Мюллер)

    В таком случае логика поиска файла configure могла принять каталог с найденным выше файлом за верхний уровень дерева исходных кодов.