Обновление поддерживаемых веток PostgreSQL с исправлением уязвимости

5 октября 2010 года

Доступны (Архивная копия от 8 сентября 2011 на Wayback Machine) новые релизы во всех поддерживаемых ветках PostgreSQL: 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 и 7.4.30. В новых версиях в сумме исправлено более 130 разных ошибок, при этом в версии 9.0.1 устранено 10 ошибок, а в 8.4.5 - около 50. Отдельно отмечается устранение проблемы безопасности:

• Аутентифицированный пользователь СУБД с доверительными правами ("trusted") запуска хранимых процедур мог манипулировать содержимом модулей и связанных-переменных в функциях на языках PL/Perl и PL/Tcl, что можно использовать для организации выполнения кода с привилегиями другого пользователя, использующего функции с атрибутом "SECURITY DEFINER". Также сообщается, что проблеме подвержены функции на PL/PHP и других процедурных языках, исправление для PL/PHP пока недоступно, но будет выпущено в ближайшее время.

Некоторые из наиболее серьезных исправлений:

• Устранен крах при выполнении функции show_session_authorization() в момент выполнения операции autovacuum;
• Решена проблема с утечкой соединений после двойного указания некорректного имени соединения. Налажена обработка имен соединений длиннее 63 байт. Улучшена работа contrib/dblink для таблиц с удаленными столбцами;
• Добавлена защита от возвращения функциями setof-записи, когда не все возвращаемые строки имеют идентичный тип столбцов. Ошибка свойственна только 8.0 и более ранним веткам;
• Устранено возможное дублирование сканирования связей для выражения UNION ALL. Ошибка свойственна только 8.2 и более ранним веткам;
• Возникновение фатального состояния (PANIC) сведено до вывода ошибки (ERROR) в случае редкого возникновения проблем с btree. Ошибка свойственна только 8.2 и более ранним веткам;
• В contrib/hstore добавлена функция hstore(text, text), позволяющая уйти от использования оператора "=", который объявлен устаревшим в ветке 9.0. Изменение затрагивает только 8.2 и более ранние ветки;
• Исправлена проблема с пометкой прокешированных планов как скоротечных, что приводило к неправильному использованию CREATE INDEX CONCURRENTLY. Ошибка свойственна только 8.3 и более ранним веткам;
• Исправлена ошибки вычисления внутренней составляющей внешней JOIN-операции, являющейся подзапросом с нестрогим выражением в выходном списке. Изменение затрагивает только 8.4 и более ранние ветки;
• Добавлена поддержка удачной полной верификации SSL-сертификата, в случае когда одновременно указаны и имя и адрес хоста (host и hostaddr). Изменение затрагивает только 8.4 и более ранние ветки;
• Улучшена возможность по параллельному восстановлению в случае указания выборочных опций ("restore -L"). Изменение затрагивает только 8.4 и более ранние ветки;
• Решена проблема, когда запрос "ALTER TABLE t ADD COLUMN c serial" выполняет не владелец таблицы. Изменение затрагивает только ветку 9.0.

Примечательно, что обновления также выпущены для веток PosgreSQL 7.4 и 8.0, поддержку которых планировалось прекратить в июле. Это последнее обновление для веток PosgreSQL 7.4 и 8.0, пользователям рекомендуется запланировать переход на более новую версию PostgreSQL. Поддержка ветки PostgreSQL 8.1 будет прекращена в ноябре 2010 г., PostgreSQL 8.2 - в декабре 2011 г., PostgreSQL 8.3 - в феврале 2013 г., а PostgreSQL 8.4 в июле 2014 г.