PostgreSQL 9.4.1

Qué hay de nuevo en esta versión:

Revisión desbordamiento del búfer en el to_char() (Bruce Momjian):
- Cuando to_char() procesos de un formato numérico de la plantilla de llamada para un gran número de dígitos, PostgreSQL iba a leer más allá del final de un buffer. Cuando el procesamiento de un diseñado de marca de hora formato de la plantilla, PostgreSQL iba a escribir más allá del final de un buffer. Cualquiera de los dos casos no se pudo bloquear el servidor. No hemos descartado la posibilidad de ataques que llevan a la escalada de privilegios, a pesar de que parece poco probable. (CVE-2015-0241)

Revisión de desbordamiento de búfer en reemplazo *printf() funciones (Tom Lane):
- PostgreSQL incluye un reemplazo de la aplicación de printf y funciones relacionadas. Este código de saturación de una pila de búfer cuando se formatea un número de punto flotante (especificadores de conversión e, e, f, F, g o G) con el titulo de precisión mayor que alrededor de 500. Esto va a bloquear el servidor, y no hemos descartado la posibilidad de ataques que llevan a la escalada de privilegios. Un usuario de base de datos puede provocar un desbordamiento de búfer a través de la to_char() función SQL. Mientras que es el único afectado núcleo de PostgreSQL funcionalidad, los módulos de extensión que utilizar printf-las funciones de la familia pueden estar en riesgo. Este problema afecta principalmente a PostgreSQL en Windows. PostgreSQL utiliza el sistema de aplicación de estas funciones donde adecuada, que es en otras plataformas modernas. (CVE-2015-0242)

Revisión desbordamientos de búfer en contrib/pgcrypto (Marko Tiikkaja, Noé Misch):
- Errores en el tamaño de la memoria de seguimiento dentro de la pgcrypto módulo permite el desbordamiento del búfer de pila e indebido de la dependencia sobre el contenido de la memoria no inicializada. La saturación de búfer casos pueden bloquear el servidor, y no hemos descartado la posibilidad de ataques que llevan a la escalada de privilegios. (CVE-2015-0243)

Revisión de la posible pérdida de frontend/backend protocolo de sincronización después de un error (Heikki Linnakangas):
- Si algún error se produjo mientras el servidor estaba en medio de la lectura de un mensaje de protocolo de el cliente, podría perder la sincronización y mal tratar de interpretar parte del mensaje de datos como un nuevo mensaje de protocolo. Un atacante capaz de presentar diseñado datos binarios dentro de un parámetro de comando podría tener éxito en la inyección de sus propios comandos SQL de esta manera. Declaración de tiempo de espera y la cancelación de la consulta son la fuente más probable de los errores de activación de este escenario. Especialmente vulnerables son las aplicaciones que utilizan un tiempo de espera y también presentar arbitraria de usuario diseñado datos binarios de los parámetros de consulta. La desactivación de instrucción tiempo de espera va a reducir, pero no eliminar, el riesgo de explotar. Nuestro agradecimiento a Emil Lenngren por informar de este problema. (CVE-2015-0244)

Corrección de fuga de información a través de la restricción de mensajes de error de infracción (Stephen Frost):
- Algunos mensajes de error del servidor muestran los valores de las columnas que violar una restricción, como una restricción unique. Si el usuario no tiene el privilegio SELECCIONAR en todas las columnas de la tabla, esto podría significar que la exposición de los valores que el usuario no debería ser capaz de ver. Ajustar el código de modo que los valores que se muestran sólo cuando llegaron del comando SQL o podría ser seleccionado por el usuario. (CVE-2014-8161)

Bloqueo de las pruebas de regresión temporal de las instalaciones de Windows (Noé Misch):
- Uso SSPI de autenticación para permitir sólo las conexiones desde el sistema operativo del usuario que inició la suite de prueba. De esta manera se cierra en Windows la misma vulnerabilidad cerrado previamente en otras plataformas, es decir, que otros usuarios podrían ser capaces de conectarse a la prueba de correos. (CVE-2014-0067)

Revisión de uso de la-ya-liberado-problema de memoria en EvalPlanQual de procesamiento (Tom Lane):
- En LEER COMPROMETIDO modo, las consultas que bloquear o actualización recientemente actualizado filas podría accidente como resultado de este error.

Revisión jsonb de escape Unicode de procesamiento, y, en consecuencia, no permitir \u0000 (Tom Lane):
- Anteriormente, el JSON de escape Unicode \u0000 fue aceptada y se almacenan como los seis personajes; pero que es indistinguible de lo que se almacena para la entrada \\u0000, lo que resulta en la ambigüedad. Por otra parte, en los casos de escape textual se espera que la producción, tales como el ->> operador, la secuencia fue impreso como \u0000, que no cumple con la expectativa de que JSON escapar sería eliminado. (Un comportamiento coherente requerirá la emisión de un byte cero, pero PostgreSQL no admite cero bytes incrustado en cadenas de texto.) 9.4.0 incluye un desacertado intento de mejorar esta situación mediante el ajuste de la salida JSON reglas de conversión; pero, por supuesto, que no podía fijar la ambigüedad fundamental, y se volvió a romper los otros usos de las secuencias de escape Unicode. Revertir eso, y para evitar el problema de fondo, rechazar \u0000 en jsonb de entrada. Si un jsonb columna contiene un \u0000 valor almacenado con 9.4.0, serán de ahora en adelante se lea como si se tratase de \\u0000, que es la otra interpretación válida de los datos almacenados por 9.4.0 para este caso. El json que de tipo de no tener el almacenamiento-problema de ambigüedad, pero tenía el problema de la incoherencia de escape producción textual. Por lo tanto \u0000 ahora también ser rechazado en json valores cuando la conversión de escape se requiere el formulario. Este cambio no romper la capacidad de almacenar \u0000 en json columnas para mucho tiempo, ya que el procesamiento se realiza en los valores. Esto es exactamente paralela a la de los casos en los que no-ASCII, Unicode escapa están permitidos cuando la codificación de base de datos no es UTF8.

Corrección de nombres tratamiento en xpath() (Ali Akbar):
- Anteriormente, el valor xml resultante de una expresión xpath() la llamada no habría declaraciones de espacio de nombres si las declaraciones de espacio de nombres se adjunta a un elemento antecesor en el xml de entrada de valor, más que el elemento específico que se devuelve. Propagar la ancestral declaración, de modo que el resultado es correcto cuando se considera en forma aislada.

Revisión surtido de descuidos en la gama de-operador de selectividad de estimación (Emre Hasegeli):
- Este parche corrige esquina caso "inesperado operador NNNN" planificador de errores y la mejora de la selectividad de las estimaciones para algunos otros casos.

Volver no deseados de reducción en el tamaño máximo de un GIN índice de elemento (Heikki Linnakangas):
- 9.4.0 podría fallar con "índice de la fila de tamaño excede la máxima de" errores para los datos que las versiones anteriores iba a aceptar.

Cambio "pgstat tiempo de espera" mensaje de advertencia a nivel de REGISTRO, y la pregunta a ser más comprensible (Tom Lane):
- Este mensaje fue originalmente pensado para ser esencialmente una no puede suceder caso, pero ocurre bastante a menudo en nuestros más lento buildfarm miembros a ser una molestia. Reducir a nivel de REGISTRO, y gastar un poco más de esfuerzo en la redacción: ahora lee "el uso de rancio estadísticas en lugar de los actuales debido a que las estadísticas de colector no está respondiendo".

Revisión libpq del comportamiento de /etc/passwd no es legible (Tom Lane):
- Mientras se hace PQsetdbLogin(), libpq intentos para determinar el sistema operativo del usuario nombre, que en la mayoría de las plataformas de Unix implica leer /etc/passwd. Como de 9.4, si no que fue tratada como un error de disco duro. Restaurar el comportamiento anterior, que fue no sólo si la aplicación no proporciona una base de datos nombre de la función de conectar. Esto apoya la operación en entornos chroot que falta un archivo /etc/passwd.
- Mejorar la consistencia de los análisis de psql especial de variables (Tom Lane):
- Permitir que las variantes ortográficas de encendido y apagado (como 1/0) para ECHO_HIDDEN y ON_ERROR_ROLLBACK. Informe de una advertencia para los valores desconocidos para COMP_KEYWORD_CASE, de ECHO, ECHO_HIDDEN, HISTCONTROL, ON_ERROR_ROLLBACK, y nivel de detalle. Reconocer todos los valores de todas estas variables a mayúsculas-minúsculas; antes no era una mezcla de mayúsculas y minúsculas y mayúsculas y minúsculas de los comportamientos.
- Manejar inesperados resultados de la consulta, especialmente Nulos, de forma segura en contrib/tablefunc del connectby() (Michael Paquier): connectby() previamente se estrelló si se encontró un valor NULO valor de la clave. Ahora imprime esa fila, pero no recurse más.
- Numerosas limpiezas de las advertencias de Coverity analizador de código estático (Andrés Freund, Tatsuo Ishii, Marko Kreen, Tom Lane, Michael Paquier):
- Estos cambios son en su mayoría estético, pero en algunos casos, la revisión de la esquina-en caso de errores, por ejemplo un accidente, en lugar de un informe de error después de un fallo de la memoria. Ninguno se cree que representan los problemas de seguridad.

Permitir CFLAGS de configurar el entorno para reemplazar automáticamente suministrado CFLAGS (Tom Lane):
- Previamente, configurar gustaría añadir modificadores que él eligió de su propio acuerdo para el final de la especificada por el usuario CFLAGS cadena. Dado que la mayoría de los compiladores proceso de interruptores de izquierda a derecha, esto significaba que configurar las opciones de anularía el especificado por el usuario banderas en el caso de los conflictos. Que debería de funcionar al revés, por lo que ajustar la lógica para poner el usuario de la cadena al final no al principio.

Hacer pg_regress eliminar cualquier instalación temporal se creado sobre la salida correcta (Tom Lane):
- Esto resulta en una reducción sustancial en el uso de espacio de disco durante hacer el check-mundo, ya que la secuencia implica la creación de numerosas instalaciones temporales.

Varios cambios:
- Agregar CST (Hora Estándar de China) a nuestra lista de zona horaria de abreviaturas (Tom Lane)
- Actualización de datos de zona horaria de archivos para tzdata liberación 2015a para el horario de verano cambios de la ley en Chile y México, además de los cambios históricos en Islandia. Evitar posibles de interbloqueo al intentar adquirir tupla bloqueos en EvalPlanQual de procesamiento (Álvaro Herrera, Marcos Kirkwood)
- Corrección de error esperar cuando una transacción intenta adquirir un SIN CLAVE EXCLUSIVA tupla de bloqueo, mientras que varias otras transacciones actualmente tienen PARA COMPARTIR bloqueos (Álvaro Herrera)
- Mejorar el rendimiento de EXPLICAR con gran variedad de tablas (Tom Lane)
- Revisión de consultas de duración de la pérdida de memoria durante la repetida GIN índice vuelve a examinar (Heikki Linnakangas)
- Fix posible accidente cuando se utiliza un valor distinto de cero gin_fuzzy_search_limit (Heikki Linnakangas)
- Surtido de arreglos para la lógica de decodificación (Andrés Freund)
- Revisión de reproducción incorrecta de WAL cambio de parámetro registros que informan de cambios en el wal_log_hints configuración (Petr Jalinek)
- Avisar si OS X setlocale() inicia un adicional no deseado hilo en el interior del postmaster (Noé Misch)
- Revisión pg_dump para manejar los comentarios sobre el evento desencadena, sin fallar (Tom Lane)
- Permitir paralelo pg_dump para uso --serializable-prorrogable (Kevin Grittner)
- Evitar WAL archivos creados por pg_basebackup -x/-X de ser archivada de nuevo cuando la espera es promovido (Andrés Freund)