Пометка кешированных планов как зависимых от выполняющих их ролей, когда защита на уровне строк (RLS) применяется для ссылки на таблицу не на верхнем уровне (Натан Боссарт) §

Если общее табличное выражение (CTE), подзапрос, подссылка, представление с контекстом безопасности вызывающего или проекция приведения в запросе ссылались на таблицу с политикой защиты на уровне строк, результирующий план не помечался как потенциально зависимый от выполняющей его роли. Это могло приводить к тому, что последующие запросы в том же сеансе выполнялись с некорректным планом, а скрытые строки возвращались или возвращаемые скрывались.

Проект PostgreSQL благодарит Вольфганга Вальтера за сообщение об этой проблеме. (CVE-2024-10976)

Библиотека libpq теперь игнорирует сообщения об ошибках, получаемые во время согласования протоколов SSL или GSS (Джейкоб Чемпион) §

Злоумышленники могут подменять реальное выходное сообщение сервера об ошибке, получаемое до того, как завершено согласование криптографического протокола. Это может приводить к различным угрозам безопасности, например, злоумышленник может подменить результат запроса, а невнимательный пользователь спутает его с реальным результатом. Лучше всего игнорировать такие сообщения об ошибках и доверять только сообщениям libpq о сбое соединения.

Проект PostgreSQL благодарит Джейкоба Чемпиона за сообщение об этой проблеме. (CVE-2024-10977)

Исправление нежелательного взаимодействия команд SET SESSION AUTHORIZATION и SET ROLE (Том Лейн) § §

Согласно стандарту SQL, команда SET SESSION AUTHORIZATION имеет побочный эффект в виде выполнения команды SET ROLE NONE. Это было реализовано некорректно, что приводило к дополнительному нежелательному взаимодействию между двумя командами. В частности, откат транзакции, в которой была выполнена команда SET SESSION AUTHORIZATION, приводил к откату ROLE до NONE, даже если ранее было другое значение, и действующий идентификатор пользователя мог отличаться от идентификатора до выполнения транзакции. Временное включение session_authorization в предложении SET функции приводило к тому же результату. Дополнительная ошибка заключалась в том, что при исследовании current_setting('role') параллельным рабочим процессом он видел none, даже если должен был видеть иное значение.

Проект PostgreSQL благодарит Тома Лейна за сообщение об этой проблеме. (CVE-2024-10978)

Запрет на изменение переменных окружения доверенным кодом PL/Perl (Эндрю Дунстан, Ной Миш) § § §

Возможность изменять переменные окружения процессов, такие как PATH, позволяет злоумышленнику выполнять произвольный код. Поэтому теперь это запрещено для «доверенных» процедурных языков. Чтобы исправить проблему с plperl, замените %ENV на связанный хеш, который запрещает вносить изменения с выводом предупреждения. Недоверенный язык plperlu сохраняет возможность изменять переменные окружения.

Проект PostgreSQL благодарит Коби Абрамса за сообщение об этой проблеме. (CVE-2024-10979)

Исправление обновлений состояния каталога для ограничений внешнего ключа при присоединении или отсоединении секций таблицы (Жеан-Гийом де Рорте, Альваро Эррера) § §

Если целевая таблица секционирована, для ссылающейся таблицы, которая является отдельной, а не секцией, необходимы другие записи каталога. Команды ATTACH/DETACH PARTITION выполняли это преобразование некорректно. В частности, после выполнения команды DETACH для новой отдельной таблицы терялись триггеры обеспечения целостности внешнего ключа, из-за чего в таблице могли появляться строки, не выполняющие требования по ограничению внешнего ключа. Кроме того, последующее повторное присоединение командой ATTACH могло приводить к неожиданным ошибкам.

Это можно исправить, выполнив команду ALTER TABLE DROP CONSTRAINT для новой отдельной таблицы в отношении каждого ограничения с ошибкой и добавив ограничение заново. Ошибка при повторном добавлении ограничения означает появление ошибочных данных. В этом случае необходимо заново и вручную обеспечить целостность целевой и ссылающейся таблиц, а затем ещё раз добавить ограничение.

Используйте запрос ниже, чтобы выявить нарушенные ограничения и подготовить команды для создания таких ограничений заново:

SELECT conrelid::pg_catalog.regclass AS "constrained table",
       conname AS constraint,
       confrelid::pg_catalog.regclass AS "references",
       pg_catalog.format('ALTER TABLE %s DROP CONSTRAINT %I;',
                         conrelid::pg_catalog.regclass, conname) AS "drop",
       pg_catalog.format('ALTER TABLE %s ADD CONSTRAINT %I %s;',
                         conrelid::pg_catalog.regclass, conname,
                         pg_catalog.pg_get_constraintdef(oid)) AS "add"
FROM pg_catalog.pg_constraint c
WHERE contype = 'f' AND conparentid = 0 AND
   (SELECT count(*) FROM pg_catalog.pg_constraint c2
    WHERE c2.conparentid = c.oid) <>
   (SELECT count(*) FROM pg_catalog.pg_inherits i
    WHERE (i.inhparent = c.conrelid OR i.inhparent = c.confrelid) AND
      EXISTS (SELECT 1 FROM pg_catalog.pg_partitioned_table
              WHERE partrelid = i.inhparent));

Поскольку один или несколько этапов выполнения команды ADD CONSTRAINT могут завершиться ошибкой, сохраните вывод запроса в файл и попробуйте заново повторить каждый этап.

Исправление теста для локали C, когда значения переменных LC_COLLATE и LC_CTYPE отличаются (Джефф Девис) §

При использовании libc как провайдера локали по умолчанию, тест, проверяющий использование локали C для сравнения, ранее некорректно проверял значение LC_CTYPE, а не LC_COLLATE. Это не влияло на обычный сценарий работы, когда значения совпадали или оба отличались от C (или псевдонима POSIX). Однако, если LC_CTYPE имела значение C, а в LC_COLLATE была указана другая локаль, запросы могли выполняться некорректно и было возможно повреждение индексов, построенных по строкам. После установки этого обновления пользователям БД с такими значениями переменных следует перестроить затронутые проблемой индексы. Обратный случай, когда LC_COLLATE принимала значение C, а в LC_CTYPE указана другая локаль, приводил к снижению производительности, но не к ошибкам.

Запрет использования соединений или группировки с учётом секционирования, если сортировка в запросе для столбца ключа не соответствует сортировке ключа секционирования (Цзянь Хи, Веббо Хан) § §

Такие планы ранее могли приводить к некорректным результатам.

Предотвращение сбоя планировщика после преобразования теста IS NULL для столбца NOT NULL в константу FALSE (Ричард Гуо) §

Эта проблема обычно вызывала такие ошибки, как «variable not found in subplan target lists» (переменная не найдена в целевых списках подплана).

Предотвращение возможного сбоя планировщика во время встраивания SQL-функции, аргументы которой содержат определенные связанные с массивами конструкции (Том Лейн, Натан Боссарт) §

Исправление возможных некорректных выводов или ошибки планировщика «wrong varnullingrels» (неправильные varnullingrels) для операций MERGE ... WHEN NOT MATCHED BY SOURCE (Дин Рашид) § §

Исправление возможной ошибки «could not find pathkey item to sort» (не удалось найти элемент ключей пути для сортировки), когда необходима сортировка вывода запроса с оператором UNION ALL, а столбец сортировки является выражением (Андрей Лепихов, Том Лейн)

Исправление сканирования индекса-B-дерева для ScalarArrayOp в особых случаях (Питер Гейган) §

Вывод мог быть некорректным, когда прокручиваемые курсоры с планом такого вида прокручивались до начальной точки и снова прокручивались вперёд.

Исправление сбоя проверочного утверждения или сбивающего с толку сообщения об ошибке выполнения команды COPY (запрос) TO ..., когда запрос переписывается правилом DO INSTEAD NOTIFY (Тендер Ван, Том Лейн) §

Исправление проверки параметров FORCE_NOT_NULL и FORCE_NULL команды COPY (Джоэл Джейкобсон) §

Некоторые некорректные варианты использования теперь запрещены, как и должно было быть.

Исправление сбоя сервера в случаях, когда вызов json_objectagg() содержит изменчивую функцию (Амит Ланготе) §

Исправление выявления асимметричных данных во время параллельного соединения по хешу (Томас Манро) §

После пересекционирования внутренней стороны соединения по хешу из-за слишком большого количества накопленных кортежей в одной секции проверялось, что все кортежи секции попадали в одну и ту же дочернюю секцию. Так предполагалось, что у всех кортежей одно хеш-значение и последующее пересекционирование не может привнести улучшений. В некоторых случаях эта проверка не работала, из-за чего выполнялось бессмысленное многократное пересекционирование, что в итоге приводило к ошибке исчерпания ресурсов.

Предотвращение сбоев, когда командой ALTER DATABASE SET задаётся серверный параметр, для которого поиск выполняется на основе пути, например default_text_search_config (Джефф Девис) §

Предотвращение повторных поисков классов операторов и сравнений во время создания нового индекса для секционированной таблицы (Том Лейн) §

Исправление вызвано главным образом тем, что иногда поиск выполнялся с ограничением search_path, что вызывало непредвиденные сбои, когда команда CREATE INDEX ссылалась на объекты за пределами схемы pg_catalog.

Кроме того, благодаря этому исправлению комментарии к родительскому секционированному индексу больше не копируются в дочерние индексы.

Добавление недостающей зависимости указанного в CREATE TABLE ... USING невстроенного метода доступа от секционированной таблицы (Микаэль Пакье) §

Удаление метода доступа должно было быть запрещено при существовании зависимой от него таблицы, но было возможно, что вызывало странное поведение. Обратите внимание, что это исправление решает проблему только для секционированных таблиц, созданных после обновления.

Запрет использования имён локалей, содержащих не ASCII-символы (Томас Манро) §

Проблема возникала только в Windows, поскольку такие имена локалей больше нигде не используются. Основная сложность заключается в том, что неясно в какой кодировке они представлены (так как используемая кодировка определена в самой локали). Из-за этого недоразумения в последних выпусках PostgreSQL в библиотеке времени выполнения могли случаться прерывания операций.

При появлении нового сообщения об ошибке следует либо создать новую локаль с именем только из набора ASCII при помощи программы Locale Builder в Windows, либо использовать имена локалей, соответствующие языковому тегу BCP 47, например, tr-TR.

Устранение условий гонки при фиксации сериализуемой транзакции (Хейкки Линнакангас) §

Некорректная обработка недавно зафиксированной транзакции могла приводить к сбою проверочного утверждения или ошибке «could not access status of transaction» (не удалось получить состояние транзакции).

Устранение условий гонки при выполнении команды COMMIT PREPARED, которые приводили к наличию потерянных файлов двухфазной фиксации (2PC) (У Чэнвэнь) §

Параллельное выполнение нескольких команд PREPARE TRANSACTION могло приводить к тому, что команда COMMIT PREPARED не удаляла файл состояния двухфазной фиксации на диске для завершённой транзакции. Мгновенно к негативным последствиям это не приводило, однако при последующем восстановлении после сбоя могла возникать ошибка «could not access status of transaction» (не удалось получить состояние транзакции), что требовало ручного удаления потерянного файла для восстановления службы.

Предотвращение некорректного обращения к памяти после пропуска нерабочего индекса TOAST во время выполнения команды VACUUM FULL (Тендер Ван) §

Список, отслеживающий подлежащие перестройке индексы, некорректно обновлялся в этом месте кода, что могло приводить сбоям проверочных утверждений или отказам в будущем.

Исправление возможных потерь обновлений каталога «на месте» (Ной Миш) § § § § § § §

При обычном обновлении строк новая версия строки записывается, чтобы сохранить возможность отката транзакции. Однако при обновлении некоторых системных каталогов транзакции намеренно не затрагиваются, и в таком случае строка обновляется на месте. Данное исправление устраняет условия гонки, которые могли приводить к потере обновлений на месте. Одним из примеров была потеря того, что для pg_class.relhasindex задано значение true, что приводило к невозможности обновления нового индекса и, следовательно, его повреждению.

Сброс кеша каталогов в конце процесса восстановления (Ной Миш) §

Таким образом предотвращаются сценарии, при которых обновления каталога на месте могли быть потеряны из-за использования устаревших данных из кеша каталога.

Предотвращение параллельного выполнения запросов при сдерживании прерываний (Франческо Деграсси, Ной Миш, Том Лейн) § §

С этой ситуацией невозможно было столкнуться во время обычной работы, но можно было воспроизвести при помощи тестовых сценариев, например использовав SQL-функцию в качестве опорной для B-дерева (что слишком медленно для промышленной эксплуатации). При успешном воспроизведении возникала ситуация бесконечного ожидания.

Игнорирование ещё не определённых порталов в представлении pg_cursors (Том Лейн) §

Определённый пользователем код, исследующий это представление, мог вызываться при настройке нового курсора. Если это случалось, происходило обращение по нулевому указателю. Проблема решена определением представления так, чтобы исключать курсоры, которые ещё не полностью настроены.

Предотвращение ошибки «unexpected table_index_fetch_tuple call during logical decoding» (непредвиденный вызов table_index_fetch_tuple во время логического декодирования) при декодировании транзакции, содержащей вставку значения столбца по умолчанию (Такэси Идэриха, Хоу Чжицзе) § §

Уменьшение потребления памяти при логическом декодировании (Масахико Савада) §

Теперь используется блок по умолчанию меньшего размера для хранения данных кортежей, получаемых во время логического декодирования. Таким образом снижается потеря памяти, которая, как сообщается, была существенной, возникала во время длительных транзакций и даже приводила к сбоям из-за нехватки памяти.

Исправление поведения стабильных функций, вызываемых из списка аргументов оператора CALL, где CALL находится в блоке EXCEPTION PL/pgSQL (Том Лейн) §

Как и до исправления в предыдущем квартальном выпуске, таким функциям ранее передавался неправильный снимок, в результате чего они получали устаревшие значения строк, которые уже изменились с момента начала внешней транзакции.

Разбор параметра подключения keepalives в libpq так же, как и других целочисленных параметров (Юто Сасаки) §

В используемом коде запрещались завершающие пробелы в значении параметра, в отличие от других случаев. Это оказалось проблемой, например, в использовании ecpg.

Исправление чтения за пределами выборки при разборе некорректных даты и времени в ecpglib (Брюс Момджян, Павел Некрасов) §

Ранее было возможно попытаться считать расположение непосредственно перед началом константного массива. Однако практические следствия этой ошибки незначительны.

Исправление команд описания psql для поддержки серверов версий до 9.4 (Том Лейн) §

Выполнение команд, при которых отображается список управления доступом (ACL), завершалось ошибкой на очень старых версиях сервера PostgreSQL из-за использования функции, отсутствующей в этих версиях.

Предотвращение зависания в psql, если в команде \watch указан интервал менее 1 мс (Андрей Бородин, Микаэль Пакье) §

Вместо этого такой интервал будет обрабатываться как равный нулю (без задержки между выполнениями).

Устранение неспособности найти пароль репликации в ~/.pgpass (Том Лейн) §

Утилитам pg_basebackup и pg_receivewal не удавалось сопоставить вхождение в ~/.pgpass, для которого в поле имени БД содержалось значение replication, если не были указаны параметры -d или --dbname. Такое поведение приводило к непредвиденному запросу пароля.

Отображение ошибки в pg_combinebackup, если файл инкрементальной резервной копии находится в каталоге, где должна содержаться полная копия (Роберт Хаас) §

Запрет на создание имён файлов с двумя косыми чертами в pg_combinebackup (Роберт Хаас) §

Проблем в работе это не вызывало, однако в сообщениях об ошибках дублировались косые черты, что могло сбивать с толку.

Предотвращение попытки перестройки индексов временных таблиц, индексов в vacuumdb и при параллельной перестройке индексов с помощью reindexdb (Вайбхав С, Микаэль Пакье, Фудзии Масао, Натан Боссарт) § § §

Перестройка индексов временных таблиц других сеансов невозможна, но проверка на пропуск отсутствовала в некоторых местах кода, что вело к нежелательным сбоям.

Исправление некорректного кода, генерируемого LLVM, на платформах ARM64 (Томас Манро, Антонин Боннефой) §

При использовании JIT-компиляции на платформах ARM генерируемый код не поддерживал расстояния перемещения больше 32 бит, из-за чего он мог размещаться неудачно и вызывать сбои сервера в системах с большим объёмом памяти.

Исправление нескольких случаев, в которых допускалось, что время начала процесса (представленное time_t) уместится в значение типа long (Макс Джонсон, Натан Боссарт) §

На платформах, где тип long вмещает 32 бита (особенно на Windows), после 2038 года произойдёт сбой. В основном он проявит себя косметически, но в особенности зависнет команда pg_ctl start.

Обновление данных часовых поясов до версии tzdata 2024b (Том Лейн) § §

В этом выпуске tzdata изменяются старые имена часовых поясов, совместимые с System V, теперь они дублируют соответствующие географические зоны. Например, PST8PDT теперь является псевдонимом для America/Los_Angeles. Единственное видимое последствие заключается в том, что для временных отметок до введения стандартизированных часовых поясов часовой пояс будет означать среднее солнечное время для заданного места. Например, в PST8PDT ввод с типом данных timestamptz, такой как 1801-01-01 00:00, раньше отображался как 1801-01-01 00:00:00-08, а теперь — как 1801-01-01 00:00:00-07:52:58.

Кроме того, выполнены корректировки исторических данных для Мексики, Монголии и Португалии. Часовой пояс Asia/Choibalsan теперь является псевдонимом для Asia/Ulaanbaatar, а не отдельным часовым поясом, в основном потому что разница между ними, как оказалось, основана на недостоверных данных.