发布说明

确保当 RLS 应用于非顶层表引用时，缓存的计划被标记为依赖于调用角色 （Nathan Bossart） §

如果查询中的 CTE、子查询、子链接、安全调用者视图或强制转换投影引用了具有行级安全策略的表， 我们忽略了将结果计划标记为可能依赖于执行它的角色。 这可能导致同一会话中的后续查询执行使用错误的计划， 从而返回或隐藏了本应被隐藏或返回的行。

PostgreSQL 项目感谢 Wolfgang Walther 报告此问题。 （CVE-2024-10976）

使 libpq 丢弃在 SSL 或 GSS 协议协商期间收到的错误消息 （Jacob Champion） §

在加密协商完成之前收到的错误消息可能是由中间人注入的，而非真正的服务器输出。 报告它会打开各种安全隐患的大门；例如，该消息可能伪造一个查询结果， 粗心的用户可能会误认为是正确的输出。最佳方案似乎是丢弃此类数据， 仅依赖 libpq 自己的连接失败报告。

PostgreSQL 项目感谢 Jacob Champion 报告此问题。 （CVE-2024-10977）

修复 SET SESSION AUTHORIZATION 和 SET ROLE 之间的意外交互（Tom Lane） § §

SQL 标准要求 SET SESSION AUTHORIZATION 具有执行 SET ROLE NONE 的副作用。我们的实现存在缺陷， 导致这两个设置之间产生了超出预期的交互。值得注意的是，回滚一个执行了 SET SESSION AUTHORIZATION 的事务会将 ROLE 恢复为 NONE，即使之前并非如此，因此有效用户 ID 现在可能与事务之前不同。 在函数 SET 子句中临时设置 session_authorization 也有类似的效果。 一个相关的错误是，如果并行工作进程检查 current_setting('role')，它会看到 none， 即使它应该看到其他值。

PostgreSQL 项目感谢 Tom Lane 报告此问题。 （CVE-2024-10978）

防止受信任的 PL/Perl 代码更改环境变量 （Andrew Dunstan，Noah Misch） § § §

操纵进程环境变量（如 PATH）的能力为攻击者提供了执行任意代码的机会。 因此，“受信任的” PL 不能提供这种能力。 为修复 plperl，将 %ENV 替换为一个绑定哈希，该哈希会以警告拒绝任何修改尝试。 不受信任的 plperlu 保留更改环境的能力。

PostgreSQL 项目感谢 Coby Abrams 报告此问题。 （CVE-2024-10979）

修复在附加或分离表分区时外键约束的系统目录状态更新 （Jehan-Guillaume de Rorthais，Tender Wang，Álvaro Herrera） § §

如果被引用的表是分区表，那么独立表与作为分区的引用表需要不同的系统目录条目。 ATTACH/DETACH PARTITION 命令未能正确执行此转换。 特别是，DETACH 之后，现在独立的表将缺少外键执行触发器， 这可能导致该表后来包含违反外键约束的行。 后续的重新 ATTACH 也可能出现意外错误。

修复方法是对现在独立的表上的每个有问题的约束执行 ALTER TABLE DROP CONSTRAINT，然后重新添加约束。 如果重新添加约束失败，则说明已经出现了错误数据。 你需要手动重新建立引用表和被引用表之间的一致性，然后重新添加约束。

此查询可用于识别损坏的约束并构造重新创建它们所需的命令：

SELECT conrelid::pg_catalog.regclass AS "constrained table",
       conname AS constraint,
       confrelid::pg_catalog.regclass AS "references",
       pg_catalog.format('ALTER TABLE %s DROP CONSTRAINT %I;',
                         conrelid::pg_catalog.regclass, conname) AS "drop",
       pg_catalog.format('ALTER TABLE %s ADD CONSTRAINT %I %s;',
                         conrelid::pg_catalog.regclass, conname,
                         pg_catalog.pg_get_constraintdef(oid)) AS "add"
FROM pg_catalog.pg_constraint c
WHERE contype = 'f' AND conparentid = 0 AND
   (SELECT count(*) FROM pg_catalog.pg_constraint c2
    WHERE c2.conparentid = c.oid) <>
   ((SELECT count(*) FROM pg_catalog.pg_inherits i
    WHERE (i.inhparent = c.conrelid OR i.inhparent = c.confrelid) AND
      EXISTS (SELECT 1 FROM pg_catalog.pg_partitioned_table
              WHERE partrelid = i.inhparent)) +
    CASE WHEN pg_catalog.pg_partition_root(conrelid) = confrelid THEN
              (SELECT count(*) FROM pg_catalog.pg_partition_tree(confrelid)
                WHERE level = 1)
         ELSE 0 END);

由于一个或多个 ADD CONSTRAINT 步骤可能会失败， 你应该将查询输出保存到文件中，然后尝试执行每个步骤。

避免在对分区表的查询与 DETACH CONCURRENTLY 及分区的立即删除并发执行时可能出现的崩溃和 “could not open relation” 错误 （Álvaro Herrera，Kuntal Gosh） § §

如果要附加的表具有引用分区表的外键，禁止执行 ALTER TABLE ATTACH PARTITION （Álvaro Herrera） § §

此安排不受支持，且创建它的其他方式已经会失败。

如果查询的键列排序规则与分区键的排序规则不匹配， 不要使用分区级连接或分组（Jian He，Webbo Han） § §

此类计划可能产生不正确的结果。

修复当 UNION ALL 成员查询的输出需要排序且排序列是表达式时， 可能出现的 “could not find pathkey item to sort” 错误 （Andrei Lepikhov，Tom Lane） §

允许取消大型哈希索引构建的第二阶段（Pavel Borisov） §

修复当 query 被 DO INSTEAD NOTIFY 规则重写时，COPY (query) TO ... 的断言失败或令人困惑的错误消息（Tender Wang，Tom Lane） §

修复并行哈希连接中的数据倾斜检测（Thomas Munro） §

在对哈希连接的内侧进行重新分区（因为一个分区积累了太多元组）之后， 我们检查是否所有分区的元组都进入了同一个子分区， 这表明它们都具有相同的哈希值，进一步重新分区无法改善情况。 此检查在某些情况下失效，允许重复的无效重新分区，最终导致资源耗尽错误。

修复提交可序列化事务时的竞态条件（Heikki Linnakangas） §

对最近提交的事务的错误处理可能导致断言失败或 “could not access status of transaction” 错误。

修复 COMMIT PREPARED 中导致孤立 2PC 文件的竞态条件 （wuchengwen） §

并发的 PREPARE TRANSACTION 可能导致 COMMIT PREPARED 未能删除已完成事务的磁盘两阶段状态文件。 没有立即的不良影响，但后续的崩溃恢复可能因 “could not access status of transaction” 而失败， 需要手动删除孤立文件才能恢复服务。

避免在 VACUUM FULL 期间跳过无效的 toast 索引后 发生无效内存访问（Tender Wang） §

跟踪尚未重建索引的列表在此代码路径中未被正确更新， 可能导致之后出现断言失败或崩溃。

修复“就地”系统目录更新可能丢失的方式（Noah Misch） § § § § § § §

正常的行更新会写入行的新版本以保留事务的可回滚性。但是， 某些系统目录更新是有意非事务性的，通过就地更新行来完成。 这些补丁修复了可能导致就地更新效果丢失的竞态条件。例如， 可能忘记将 pg_class.relhasindex 设置为 true，导致新索引不被更新，从而造成索引损坏。

在恢复结束时重置系统目录缓存（Noah Misch） §

这防止了由于使用系统目录缓存中的过时数据而导致就地系统目录更新可能丢失的情况。

避免在暂停中断时使用并行查询 （Francesco Degrassi，Noah Misch，Tom Lane） § §

这种情况在正常情况下不会出现，但可以通过测试场景触发， 例如使用 SQL 语言函数作为 B-tree 支持（这在生产中太慢了）。 如果发生，将导致无限期等待。

在处理 Bind 和 Execute 协议消息开始时报告统计用途的活跃查询 ID （Sami Imseih） §

这允许将更多扩展查询协议中完成的工作归属到正确的查询。

防范 libxml2 中过深嵌套 XML 输入的栈溢出 （Tom Lane，感谢 Nick Wellnhofer） §

使用 xmlXPathCtxtCompile() 而非 xmlXPathCompile()，因为后者在 2.13.4 之前的 libxml2 版本中未能防止递归导致的栈溢出。

不要忽略正在处理带有谓词或表达式的索引的并发 REINDEX CONCURRENTLY（Michail Nikolaev） §

通常，REINDEX CONCURRENTLY 不需要等待其他表上的其他 REINDEX CONCURRENTLY 操作。但是，如果其他 REINDEX CONCURRENTLY 正在处理带有谓词或表达式的索引， 则不应用此优化，因为这些表达式可能包含访问其他表的用户定义代码。 粗心的编码导致了一个竞态条件，使得该规则未被统一应用，可能允许不一致的行为。

修复 EXPLAIN 中的 “failed to find plan for subquery/CTE” 错误 （Richard Guo，Tom Lane） § §

此情况出现在尝试打印子查询 RECORD 类型输出的字段引用时， 而该子查询已从计划中完全优化掉（至少在具有常量 false WHERE 条件的情况下是可能的）。 计划中没有剩余内容来标识原始字段名称，因此回退到打印 fN 来表示第 N 个记录列。（如果记录输出来自 ROW() 构造器，这实际上就是正确的做法。）

在修改生成列的类型时禁止使用 USING 子句 （Peter Eisentraut） §

生成列已经有一个指定列内容的表达式，因此包含 USING 没有意义。

在 pg_cursors 视图中忽略尚未定义的 Portal （Tom Lane） §

在设置新游标时，用户定义的代码可能检查此视图， 如果发生这种情况将导致空指针解引用。 通过将视图定义为排除未完全设置的游标来避免此问题。

防止 “trailing junk after numeric literal” 错误消息的编码错误（Karina Litskevich） §

我们不允许标识符紧跟在数字字面量之后（两者之间必须有空白）。 如果多字节字符紧跟在数字字面量之后，关于它的语法错误消息仅包含该字符的第一个字节， 导致报告给客户端和 postmaster 日志文件时出现编码错误问题。

避免在解码涉及插入列默认值的事务时出现 “unexpected table_index_fetch_tuple call during logical decoding” 错误（Takeshi Ideriha，Hou Zhijie） § §

减少逻辑解码的内存消耗（Masahiko Sawada） §

使用较小的默认块大小来存储逻辑复制期间收到的元组数据。 这减少了内存浪费，据报告在处理长时间运行的事务时该问题可能很严重， 甚至可能导致内存不足故障。

重新禁用发送无状态（TLSv1.2）会话票据（Daniel Gustafsson） §

之前为防止发送有状态（TLSv1.3）会话票据的更改意外地重新启用了无状态票据的发送。 因此，虽然我们打算阻止客户端认为 TLS 会话恢复受支持，但某些客户端仍然认为如此。

避免在删除具有大量 ACL（权限）条目的数据库时出现 “wrong tuple length” 失败（Ayush Tiwari） § §

允许在并行工作进程中调整 session_authorization 和 role 设置（Tom Lane） §

我们的代码旨在允许通过函数 SET 子句设置可修改的服务器设置， 但不允许在并行工作进程中以其他方式设置。但这两个设置的 SET 子句会失败。

修复从 CALL 语句参数列表中调用的稳定函数的行为， 当 CALL 位于 PL/pgSQL EXCEPTION 块内时 （Tom Lane） §

与之前季度发布中的类似修复一样，此情况允许这些函数接收错误的快照， 导致它们看到自外部事务开始以来被修改的行的过时值。

修复 PL/pgSQL 的 CALL 中边界情况下的 “cache lookup failed for function” 错误（Tom Lane） §

修复我们的后备（非 OpenSSL）MD5 实现在大端硬件上的线程安全性 （Heikki Linnakangas） §

线程安全在服务器中目前不是问题，但对 libpq 来说是。

按照与其他整数值选项相同的方式解析 libpq 的 keepalives 连接选项（Yuto Sasaki） §

此处使用的代码拒绝选项值中的尾随空白，与其他情况不同。 这在 ecpg 的使用中尤其成问题。

避免在 ecpglib 中使用 pnstrdup() （Jacob Champion） §

该函数在内存不足时会调用 exit()，这在库中是不可取的。 调用代码已经正确处理了分配失败。

在 ecpglib 中，修复解析不正确日期时间输入时的越界读取 （Bruce Momjian，Pavel Nekrasov） §

可能尝试读取常量数组起始位置之前的位置。不过实际后果似乎很小。

修复 pg_dump 对持久性与其所属表不同的 标识序列的处理（Tom Lane） §

从 v15 开始，可以将标识序列设置为 LOGGED，而其所属表为 UNLOGGED，反之亦然。 但是，pg_dump 在二进制升级模式下重新创建这种情况的方法会失败， 导致存在此类序列时 pg_upgrade 失败。 修复方法是为 ADD/ALTER COLUMN GENERATED AS IDENTITY 引入一个新选项，以允许在创建时正确设置序列的持久性。 请注意，这意味着包含此类序列的数据库的导出只能加载到此小版本或更新版本的服务器中。

在 pg_rewind 的调试输出中包含源时间线历史 （Heikki Linnakangas） §

这本来就是预期行为，但编码错误导致源历史始终打印为空。

修复 Windows 上连接点的异常行为，特别是在 pg_rewind 中 （Alexandra Wang） § § § §

这涉及回迁 Thomas Munro、Peter Eisentraut、Alexander Lakhin 和 Juan José Santamaría Flecha 之前的修复。这些更改最初出于谨慎未被回迁， 但它们在较新分支中使用了足够长的时间，可以认为是安全的。

避免在 vacuumdb 和并行 reindexdb 中尝试对临时表和索引重建索引 （VaibhaveS，Michael Paquier，Fujii Masao，Nathan Bossart） § § §

重建其他会话的临时表索引是不可能的，但在某些代码路径中缺少跳过它们的检查， 导致不必要的失败。

允许在 contrib/pageinspect 和 contrib/pgstattuple 的相关函数中检查序列关系 （Nathan Bossart，Ayush Vatsa） § §

过去这是允许的，但在引入表的非默认访问方法时被破坏了。

修复 ARM64 平台上不正确的 LLVM 生成代码 （Thomas Munro，Anthonin Bonnefoy） §

在 ARM 平台上使用 JIT 编译时，生成的代码无法支持超过 32 位的重定位距离， 导致在大内存系统上生成代码的不幸放置可能引起服务器崩溃。

修复几处假定进程启动时间（表示为 time_t）可以放入 long 值的地方（Max Johnson，Nathan Bossart） §

在 long 为 32 位的平台上（尤其是 Windows）， 此代码将在 Y2038 之后失败。大多数失败看起来只是外观上的， 但值得注意的是 pg_ctl start 会挂起。

修复在 Windows 上使用 Strawberry Perl 构建的问题 （Andrew Dunstan） §

防止使用 MinGW 构建时出现 “missing declaration for inet_pton” 编译器警告或错误（Thomas Munro，Andrew Dunstan） §

将时区数据文件更新到 tzdata 版本 2024b （Tom Lane） § §

此 tzdata 版本将旧的 System-V 兼容区域名称 更改为与对应地理区域的副本；例如 PST8PDT 现在是 America/Los_Angeles 的别名。主要可见后果是， 对于标准化时区引入之前的时间戳，该区域被视为代表所命名位置的当地平均太阳时。 例如，在 PST8PDT 中，timestamptz 输入如 1801-01-01 00:00 之前会被渲染为 1801-01-01 00:00:00-08，但现在被渲染为 1801-01-01 00:00:00-07:52:58。

此外还包含墨西哥、蒙古和葡萄牙的历史修正。值得注意的是， Asia/Choibalsan 现在是 Asia/Ulaanbaatar 的别名而非独立区域， 主要因为这两个区域之间的差异被发现基于不可靠的数据。