pdf viewer for asp.net web application : Add jpeg signature to pdf software Library project winforms asp.net wpf UWP postgresql-9.4-A4243-part2883

Appendix E. Release Notes
Fix misaligned descriptors in ecpg (MauMau)
In ecpg, handle lack of a hostname inthe connection parameters properly (Michael Meskes)
Fix performance regression in
contrib/dblink
connection startup (Joe Conway)
Avoid an unnecessary round trip when client and server encodings match.
In
contrib/isn
,fix incorrect calculation of the check digit for ISMN values (Fabien Coelho)
Ensure client-code-only installation procedure works as documented (Peter Eisentraut)
In Mingw and Cygwin builds, install the libpqDLL in the
bin
directory (Andrew Dunstan)
This duplicates what the MSVC build has long done. It should fix problems with programs like
psql failing to start because they can’t find the DLL.
Don’t generate plain-text
HISTORY
and
src/test/regress/README
files anymore (Tom Lane)
These text files duplicated the main HTML and PDF documentation formats. The trouble involved
in maintaining them greatly outweighs the likely audience for plain-text format. Distribution tar-
balls will still contain files by these names, but they’ll just be stubs directing the reader to consult
the main documentation. The plain-text
INSTALL
file will still be maintained, as there is arguably
ause-case for that.
Update time zone data files to tzdata release 2013i for DST law changes in Jordan and historical
changes in Cuba.
In addition, the zones
Asia/Riyadh87
,
Asia/Riyadh88
,and
Asia/Riyadh89
have been re-
moved, as they are no longer maintained by IANA, and never represented actual civil timekeeping
practice.
E.88. Release 8.4.19
ReleaseDate: 2013-12-05
This release contains a variety of fixes from 8.4.18. For information about new features in the 8.4
major release, see Section E.107.
E.88.1. Migration to Version 8.4.19
Adump/restore is not required for those running 8.4.X.
However, this release corrects a potential data corruption issue. See the firstchangelog entry below to
find out whether your installation has been affected and what steps you can take if so.
Also, if you are upgrading from a version earlier than 8.4.17, see Section E.90.
E.88.2. Changes
Fix
VACUUM
’s tests to see whether it can update
relfrozenxid
(Andres Freund)
2358
Add jpeg signature to pdf - insert images into PDF in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Sample C# code to add image, picture, logo or digital photo into PDF document page using PDF page editor control
how to add an image to a pdf in preview; how to add image to pdf file
Add jpeg signature to pdf - VB.NET PDF insert image library: insert images into PDF in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Guide VB.NET Programmers How to Add Images in PDF Document
add photo to pdf form; add an image to a pdf acrobat
Appendix E. Release Notes
In some cases
VACUUM
(either manual or autovacuum) could incorrectly advance a table’s
relfrozenxid
value, allowing tuples to escape freezing, causing those rows to become invisible
once 2^31 transactions have elapsed. The probability of data loss is fairly low since multiple
incorrect advancements would need to happen before actual loss occurs, but it’s not zero. Users
upgrading from release 8.4.8 or earlier are not affected, but all later versions contain the bug.
The issuecan be amelioratedby, after upgrading, vacuumingalltables inalldatabases whilehaving
vacuum_freeze_table_age
setto zero. This will fix any latent corruption but willnot be able to
fix all pre-existing data errors. However, an installation can be presumed safe after performing this
vacuuming if it has executed fewer than 2^31 update transactions in its lifetime (check this with
SELECT txid_current() < 2^31
).
Fix race condition in GIN index posting tree page deletion (Heikki Linnakangas)
This could lead to transient wrong answers or query failures.
Avoid flattening a subquery whose
SELECT
list contains a volatile function wrapped inside a sub-
SELECT
(Tom Lane)
This avoids unexpected results due to extra evaluations of the volatile function.
Fix planner’s processing of non-simple-variable subquery outputs nested within outer joins (Tom
Lane)
This error could lead to incorrect plans for queries involving multiple levels of subqueries within
JOIN
syntax.
Fix premature deletion of temporary files (Andres Freund)
Fix possible read past end of memory in rule printing (Peter Eisentraut)
Fix array slicing of
int2vector
and
oidvector
values (Tom Lane)
Expressions of this kind are nowimplicitly promoted to regular
int2
or
oid
arrays.
Fix incorrect behaviors when using a SQL-standard, simple GMT offset timezone (Tom Lane)
In some cases, the system would use the simple GMT offset value when it should have used the
regular timezone setting that had prevailed before the simple offset was selected. This change also
causes the
timeofday
function to honor the simple GMT offset zone.
Prevent possible misbehavior when logging translations of Windows error codes (Tom Lane)
Properly quote generated command lines in pg_ctl (Naoya Anzai and Tom Lane)
This fix applies only to Windows.
Fix pg_dumpall to work when a source database sets
default_transaction_read_only
via
ALTER DATABASE SET
(Kevin Grittner)
Previously, the generatedscript would fail during restore.
Fix ecpg’s processing of lists of variables declared
varchar
(Zoltán Böszörményi)
Make
contrib/lo
defend against incorrect trigger definitions (Marc Cousin)
Update time zone data files to tzdata release 2013h for DST law changes in Argentina, Brazil, Jor-
dan, Libya, Liechtenstein, Morocco, and Palestine. Also, new timezone abbreviations WIB, WIT,
WITAfor Indonesia.
2359
C# PDF Digital Signature Library: add, remove, update PDF digital
text from PDF, VB.NET convert PDF to Jpeg, VB.NET Add a signature or an empty signature field in any PDF file Search unsigned signature field in PDF document.
add picture to pdf reader; add picture to pdf in preview
VB.NET PDF Digital Signature Library: add, remove, update PDF
C# Online Dicom Viewer, C# Online Jpeg images Viewer VB.NET PDF - Add Digital Signatures to PDF in VB allows PDF such security setting via digital signature.
add image in pdf using java; add jpeg signature to pdf
Appendix E. Release Notes
E.89. Release 8.4.18
ReleaseDate: 2013-10-10
This release contains a variety of fixes from 8.4.17. For information about new features in the 8.4
major release, see Section E.107.
E.89.1. Migration to Version 8.4.18
Adump/restore is not required for those running 8.4.X.
However, if you are upgrading from a version earlier than 8.4.17, see Section E.90.
E.89.2. Changes
Prevent corruptionof multi-byte characters when attempting to case-foldidentifiers (Andrew Dun-
stan)
PostgreSQL case-folds non-ASCII characters only when using a single-byte server encoding.
Fix memory leak caused by
lo_open()
failure (Heikki Linnakangas)
Fixmemoryovercommitbug when
work_mem
is usingmore than 24GB of memory (StephenFrost)
Fix deadlock bug in libpq when usingSSL (Stephen Frost)
Properly compute row estimates for boolean columns containing many NULL values (Andrew
Gierth)
Previously tests like
col IS NOT TRUE
and
col IS NOT FALSE
did not properly factor in
NULL values when estimating plan costs.
Prevent pushing down
WHERE
clauses into unsafe
UNION/INTERSECT
subqueries (Tom Lane)
Subqueries of a
UNION
or
INTERSECT
that contain set-returning functions or volatile functions in
their
SELECT
lists could be improperly optimized, leading to run-time errors or incorrect query
results.
Fix rare case of “failed to locate grouping columns” planner failure (Tom Lane)
Improve viewdumping code’s handling of dropped columns in referenced tables (Tom Lane)
Fix possible deadlock during concurrent
CREATE INDEX CONCURRENTLY
operations (Tom Lane)
Fix
regexp_matches()
handling of zero-length matches (Jeevan Chalke)
Previously, zero-length matches like ’^’ could return too many matches.
Fix crash for overly-complex regular expressions (Heikki Linnakangas)
Fix regular expression match failures for back references combined with non-greedy quantifiers
(Jeevan Chalke)
Prevent
CREATE FUNCTION
from checking
SET
variablesunless functionbody checkingis enabled
(Tom Lane)
Fix
pgp_pub_decrypt()
so it works for secret keys with passwords (Marko Kreen)
Remove rare inaccurate warningduringvacuum of index-less tables (Heikki Linnakangas)
2360
C# HTML5 Viewer: Load, View, Convert, Annotate and Edit Raster
Signature feature for protecting images. supports various images formats, including JPEG, GIF, BMP Supported annotation features includes add text comments to
how to add a jpeg to a pdf; add image to pdf online
C#: XDoc.HTML5 Viewer for .NET Online Help Manual
Office 2003 and 2007, PDF, DICOM, Gif, Png, Jpeg, Bmp. 6. Click to save created signature with customized name. Click to add a rectangle redaction on the file.
adding images to pdf files; how to add image to pdf document
Appendix E. Release Notes
Avoid possible failurewhen performing transaction controlcommands (e.g
ROLLBACK
)in prepared
queries (Tom Lane)
Ensure that floating-point data input accepts standard spellings of “infinity” on all platforms (Tom
Lane)
The C99 standard says that allowable spellings are
inf
,
+inf
,
-inf
,
infinity
,
+infinity
,and
-infinity
.Make sure we recognize these even if the platform’s
strtod
function doesn’t.
Expand ability to compare rows to records and arrays (Rafal Rzepecki, Tom Lane)
Update time zone data files to tzdata release 2013d for DST law changes inIsrael, Morocco, Pales-
tine, and Paraguay. Also, historical zone data corrections for Macquarie Island.
E.90. Release 8.4.17
ReleaseDate: 2013-04-04
This release contains a variety of fixes from 8.4.16. For information about new features in the 8.4
major release, see Section E.107.
E.90.1. Migration to Version 8.4.17
Adump/restore is not required for those running 8.4.X.
However, this release corrects several errors in management of GiST indexes. After installing this
update, it isadvisableto
REINDEX
any GiST indexes that meetone or more of theconditions described
below.
Also, if you are upgrading from a version earlier than 8.4.10, see Section E.97.
E.90.2. Changes
Reset OpenSSL randomness state in each postmaster child process (Marko Kreen)
This avoids a scenario wherein random numbers generated by
contrib/pgcrypto
functions
might be relatively easy for another database user to guess. The risk is only significant when the
postmaster is configured with
ssl
=
on
but most connections don’t use SSL encryption. (CVE-
2013-1900)
Fix GiST indexes to not use “fuzzy” geometric comparisons when it’s not appropriate to do so
(Alexander Korotkov)
The core geometric types perform comparisons using “fuzzy” equality, but
gist_box_same
must
do exact comparisons, else GiST indexes using it might become inconsistent. After installing this
update, users should
REINDEX
any GiST indexes on
box
,
polygon
,
circle
,or
point
columns,
since all of these use
gist_box_same
.
Fix erroneous range-union and penalty logic in GiST indexes that use
contrib/btree_gist
for
variable-width data types, that is
text
,
bytea
,
bit
,and
numeric
columns (Tom Lane)
2361
VB.NET PDF Library SDK to view, edit, convert, process PDF file
NET program. Password, digital signature and PDF text, image and page redaction will be used and customized. PDF Annotation Edit.
add image to pdf acrobat; how to add a photo to a pdf document
How to C#: Basic SDK Concept of XDoc.PDF for .NET
can convert Word, Excel, PowerPoint Tiff, Jpeg, Bmp, Png You may add PDF document protection functionality into your C# APIs for handling digital signature in a
add a picture to a pdf file; add signature image to pdf
Appendix E. Release Notes
These errors could result in inconsistent indexes in which some keys that are present would not be
found by searches, and alsoinuseless index bloat. Users are advisedto
REINDEX
such indexes after
installing this update.
Fix bugs in GiST page splitting code for multi-column indexes (Tom Lane)
These errors could result in inconsistent indexes in which some keys that are present would not be
foundby searches, and also inindexes that are unnecessarily inefficienttosearch. Usersare advised
to
REINDEX
multi-column GiST indexes after installing this update.
Fix infinite-loop risk in regular expression compilation (Tom Lane, Don Porter)
Fix potential null-pointer dereference in regular expression compilation (Tom Lane)
Fix
to_char()
to use ASCII-only case-folding rules where appropriate (Tom Lane)
This fixesmisbehavior of some templatepatterns thatshouldbe locale-independent, butmishandled
I
”and“
i
”in Turkishlocales.
Fix unwanted rejection of timestamp
1999-12-31 24:00:00
(Tom Lane)
Removeuseless “picksplitdoesn’tsupport secondary split”logmessages (JoshHansen, Tom Lane)
This message seems tohave been addedinexpectationof code that was never written, and probably
never will be, since GiST’s default handling of secondary splits is actually pretty good. So stop
nagging end users about it.
Fix possible failure to send a session’s last few transaction commit/abort counts to the statistics
collector (Tom Lane)
Eliminate memory leaks in PL/Perl’s
spi_prepare()
function(Alex Hunsaker, Tom Lane)
Fix pg_dumpall to handle database names containing “
=
”correctly (Heikki Linnakangas)
Avoid crash in pg_dumpwhen an incorrect connection string is given (Heikki Linnakangas)
Ignore invalid indexes in pg_dump (Michael Paquier)
Dumping invalid indexes can cause problems at restore time, for example if the reason the index
creation failed was because it tried to enforce a uniqueness condition not satisfied by the table’s
data. Also, if the index creation is in fact still in progress, it seems reasonable to consider it to be
an uncommitted DDL change, which pg_dump wouldn’t be expected to dumpanyway.
Fix
contrib/pg_trgm
’s
similarity()
function to return zero for trigram-less strings (Tom
Lane)
Previously it returned
NaN
due to internal divisionby zero.
Update time zone data files to tzdata release 2013b for DST lawchanges in Chile, Haiti, Morocco,
Paraguay, and some Russian areas. Also, historical zone data corrections for numerous places.
Also, update the time zone abbreviation files for recent changes in Russia and elsewhere:
CHOT
,
GET
,
IRKT
,
KGT
,
KRAT
,
MAGT
,
MAWT
,
MSK
,
NOVT
,
OMST
,
TKT
,
VLAT
,
WST
,
YAKT
,
YEKT
now follow
their current meanings, and
VOLT
(Europe/Volgograd) and
MIST
(Antarctica/Macquarie) are added
to the default abbreviations list.
E.91. Release 8.4.16
ReleaseDate: 2013-02-07
2362
VB.NET PDF: Basic SDK Concept of XDoc.PDF
can convert Word, Excel, PowerPoint Tiff, Jpeg, Bmp, Png You may add PDF document protection functionality into your VB APIs for handling digital signature in a
add an image to a pdf in preview; add image in pdf using java
.NET PDF SDK - Description of All PDF Processing Control Feastures
PDF to text; Convert PDF to Jpeg images; More protected PDF; Allow users to add password to Create signatures in existing PDF signature fields; Create signatures
add a picture to a pdf; add image to pdf preview
Appendix E. Release Notes
This release contains a variety of fixes from 8.4.15. For information about new features in the 8.4
major release, see Section E.107.
E.91.1. Migration to Version 8.4.16
Adump/restore is not required for those running 8.4.X.
However, if you are upgrading from a version earlier than 8.4.10, see Section E.97.
E.91.2. Changes
Prevent execution of
enum_recv
from SQL (Tom Lane)
The function was misdeclared, allowing a simple SQL command to crash the server. In principle
an attacker might be able to use it to examine the contents of server memory. Our thanks to Sumit
Soni (via Secunia SVCRP) for reporting this issue. (CVE-2013-0255)
Update minimum recovery point whentruncating a relation file (Heikki Linnakangas)
Once data has been discarded, it’s no longer safe to stop recovery at an earlier point in the timeline.
Fix SQL grammar to allow subscripting or field selection from a sub-SELECT result (Tom Lane)
Protect against race conditions when scanning
pg_tablespace
(Stephen Frost, Tom Lane)
CREATE DATABASE
and
DROP DATABASE
could misbehave if there were concurrent updates of
pg_tablespace
entries.
Prevent
DROP OWNED
from trying to drop whole databases or tablespaces (Álvaro Herrera)
For safety, ownership of these objects must be reassigned, not dropped.
Fix error in
vacuum_freeze_table_age
implementation (Andres Freund)
In installations that have existed for more than
vacuum_freeze_min_age
transactions, this mis-
take prevented autovacuum from using partial-table scans, so that a full-table scan would always
happen instead.
Prevent misbehavior when a
RowExpr
or
XmlExpr
is parse-analyzed twice (Andres Freund, Tom
Lane)
This mistake could be user-visible in contexts such as
CREATE TABLE LIKE INCLUDING
INDEXES
.
Improve defenses against integer overflow in hashtable sizing calculations (Jeff Davis)
Reject out-of-range dates in
to_date()
(Hitoshi Harada)
Ensurethatnon-ASCII prompt strings are translated to the correct code page onWindows (Alexan-
der Law, Noah Misch)
This bug affected psql and some other client programs.
Fix possible crash in psql’s
\?
command when not connected to a database (Meng Qingzhong)
Fix one-byte buffer overrun in libpq’s
PQprintTuples
(Xi Wang)
This ancient functionis notused anywhere by PostgreSQL itself, but it mightstillbe used by some
client code.
Make ecpglib use translated messages properly (Chen Huajun)
2363
Appendix E. Release Notes
Properly install ecpg_compat and pgtypes libraries on MSVC (Jiang Guiqing)
Rearrange configure’s tests for supplied functions so it is not fooled by bogus exports from
libedit/libreadline (Christoph Berg)
Ensure Windows build number increases over time (Magnus Hagander)
Make pgxsbuildexecutables withthe right
.exe
suffixwhen cross-compiling for Windows (Zoltan
Boszormenyi)
Add new timezone abbreviation
FET
(Tom Lane)
This is now used in some eastern-European time zones.
E.92. Release 8.4.15
ReleaseDate: 2012-12-06
This release contains a variety of fixes from 8.4.14. For information about new features in the 8.4
major release, see Section E.107.
E.92.1. Migration to Version 8.4.15
Adump/restore is not required for those running 8.4.X.
However, if you are upgrading from a version earlier than 8.4.10, see Section E.97.
E.92.2. Changes
Fix multiple bugs associated with
CREATE INDEX CONCURRENTLY
(Andres Freund, Tom Lane)
Fix
CREATE INDEX CONCURRENTLY
to use in-place updates when changingthestate of an index’s
pg_index
row. This prevents race conditions that couldcauseconcurrentsessions tomiss updating
the target index, thus resulting in corrupt concurrently-created indexes.
Also, fix various other operations to ensure that they ignore invalid indexes resulting from a failed
CREATE INDEX CONCURRENTLY
command. The most important of these is
VACUUM
,because an
auto-vacuum could easily be launched on the table before corrective action can be taken to fix or
remove the invalid index.
Avoid corruption of internal hash tables when out of memory (Hitoshi Harada)
Fix planning of non-strict equivalence clauses above outer joins (Tom Lane)
The planner couldderive incorrectconstraints from aclauseequating anon-strictconstruct to some-
thing else, for example
WHERE COALESCE(foo, 0) = 0
when
foo
is coming from the nullable
side of an outer join.
Improve planner’s ability to prove exclusion constraints from equivalence classes (Tom Lane)
Fix partial-row matchingin hashed subplans to handle cross-type cases correctly (Tom Lane)
2364
Appendix E. Release Notes
This affects multicolumn
NOT IN
subplans, such as
WHERE (a, b) NOT IN (SELECT x, y
FROM ...)
when for instance
b
and
y
are
int4
and
int8
respectively. This mistake led to wrong
answers or crashes depending on the specific datatypes involved.
Acquire buffer lock when re-fetching the old tuple for an
AFTER ROW UPDATE/DELETE
trigger
(Andres Freund)
In very unusual circumstances, this oversight could result in passing incorrect data to the precheck
logic for a foreign-key enforcement trigger. That could result in a crash, or in an incorrect decision
about whether to fire the trigger.
Fix
ALTER COLUMN TYPE
to handle inherited check constraints properly (Pavan Deolasee)
This worked correctly in pre-8.4 releases, and now works correctly in 8.4 and later.
Fix
REASSIGN OWNED
to handle grants on tablespaces (Álvaro Herrera)
Ignore incorrect
pg_attribute
entries for system columns for views (Tom Lane)
Views do not have any system columns. However, we forgot to remove such entries when convert-
ing a table to a view. That’s fixed properly for 9.3 and later, but in previous branches we need to
defend against existing mis-converted views.
Fix rule printing to dump
INSERT INTO
table
DEFAULT VALUES
correctly (Tom Lane)
Guard against stack overflow when there are too many
UNION
/
INTERSECT
/
EXCEPT
clauses in a
query (Tom Lane)
Prevent platform-dependent failures when dividing the minimum possible integer value by -1 (Xi
Wang, Tom Lane)
Fix possible access past end of string in date parsing (Hitoshi Harada)
Produce an understandable error message if the length of the path name for a Unix-domain socket
exceeds the platform-specific limit (Tom Lane, Andrew Dunstan)
Formerly, this would result insomething quite unhelpful, such as “Non-recoverable failure inname
resolution”.
Fix memory leaks when sending composite column values to the client (Tom Lane)
Make pg_ctl more robust about reading the
postmaster.pid
file (Heikki Linnakangas)
Fix race conditions and possible file descriptor leakage.
Fix possible crash in psql if incorrectly-encoded data is presented and the
client_encoding
setting is a client-only encoding, such as SJIS (Jiang Guiqing)
Fix bugs in the
restore.sql
script emitted by pg_dump in
tar
output format (Tom Lane)
The script would fail outright on tables whose names include upper-case characters. Also, make
the script capable of restoring data in
--inserts
mode as well as the regular COPY mode.
Fix pg_restore to accept POSIX-conformant
tar
files (Brian Weaver, Tom Lane)
The original coding of pg_dump’s
tar
output mode produced files that are not fully conformant
with the POSIX standard. This has been corrected for version 9.3. This patch updates previous
branches so that they will accept both the incorrect and the corrected formats, in hopes of avoiding
compatibility problems when 9.3 comes out.
Fix pg_resetxlog to locate
postmaster.pid
correctly when given a relative path to the data di-
rectory (Tom Lane)
This mistake could lead to pg_resetxlog not noticing that there is an active postmaster using the
data directory.
2365
Appendix E. Release Notes
Fix libpq’s
lo_import()
and
lo_export()
functions to report file I/O errors properly (Tom
Lane)
Fix ecpg’s processing of nested structure pointer variables (Muhammad Usama)
Make
contrib/pageinspect
’s btree page inspection functions take buffer locks while examin-
ing pages (Tom Lane)
Fix pgxs support for building loadable modules on AIX (Tom Lane)
Building modules outside the original source tree didn’t work on AIX.
Update time zone data files to tzdata release 2012j for DST law changes in Cuba, Israel, Jordan,
Libya, Palestine, Western Samoa, and portions of Brazil.
E.93. Release 8.4.14
ReleaseDate: 2012-09-24
This release contains a variety of fixes from 8.4.13. For information about new features in the 8.4
major release, see Section E.107.
E.93.1. Migration to Version 8.4.14
Adump/restore is not required for those running 8.4.X.
However, if you are upgrading from a version earlier than 8.4.10, see Section E.97.
E.93.2. Changes
Fix planner’s assignment of executor parameters, and fix executor’s rescan logic for CTE plan
nodes (Tom Lane)
Theseerrors couldresultinwronganswersfrom queries that scanthe same
WITH
subquery multiple
times.
Improve page-splitting decisions in GiST indexes (Alexander Korotkov, Robert Haas, Tom Lane)
Multi-column GiST indexes might suffer unexpected bloat due to this error.
Fix cascading privilege revoke to stop if privileges are still held (Tom Lane)
If we revokea grant option from some role
X
,but
X
still holds that option via a grant from someone
else, we shouldnot recursivelyrevokethecorrespondingprivilege from role(s)
Y
that
X
hadgranted
it to.
Fix handling of
SIGFPE
when PL/Perl is in use (Andres Freund)
Perl resets the process’s
SIGFPE
handler to
SIG_IGN
,which could result in crashes later on. Re-
store the normal Postgres signal handler after initializing PL/Perl.
Prevent PL/Perl from crashing if a recursive PL/Perl function is redefined while being executed
(Tom Lane)
2366
Appendix E. Release Notes
Work around possible misoptimization in PL/Perl (Tom Lane)
Some Linux distributions contain anincorrect version of
pthread.h
that results inincorrect com-
piled code in PL/Perl, leading to crashes if a PL/Perl function calls another one that throws an
error.
Update time zone data files to tzdata release 2012f for DST law changes in Fiji
E.94. Release 8.4.13
ReleaseDate: 2012-08-17
This release contains a variety of fixes from 8.4.12. For information about new features in the 8.4
major release, see Section E.107.
E.94.1. Migration to Version 8.4.13
Adump/restore is not required for those running 8.4.X.
However, if you are upgrading from a version earlier than 8.4.10, see Section E.97.
E.94.2. Changes
Prevent access to external files/URLs via XML entity references (Noah Misch, Tom Lane)
xml_parse()
would attempt to fetch external files or URLs as needed to resolve DTD and entity
references inan XML value, thus allowing unprivilegeddatabase users toattempt tofetchdatawith
the privileges of the database server. While the external data wouldn’t get returned directly to the
user, portions of it could be exposed in error messages if the data didn’t parse as valid XML; and
in any case the mere ability to check existence of a file might be useful to an attacker. (CVE-2012-
3489)
Prevent access to external files/URLs via
contrib/xml2
’s
xslt_process()
(Peter Eisentraut)
libxslt offers the ability to read and write both files and URLs through stylesheet commands, thus
allowing unprivileged database users toboth read andwrite data with the privileges of the database
server. Disable that through proper use of libxslt’s security options. (CVE-2012-3488)
Also, remove
xslt_process()
’s ability to fetch documents and stylesheets from external
files/URLs. While this was a documented “feature”, it was long regarded as a bad idea. The fix for
CVE-2012-3489 broke that capability, and rather than expend effort on trying to fix it, we’re just
going to summarily remove it.
Prevent too-early recycling of btree index pages (Noah Misch)
When we allowed read-only transactions to skipassigning XIDs, we introducedthe possibility that
adeleted btree page could be recycled while a read-only transaction was still in flight to it. This
would resultinincorrect index search results. The probability of such anerror occurring inthefield
seems very low because of the timing requirements, but nonetheless it should be fixed.
Fix crash-safety bug with newly-created-or-reset sequences (Tom Lane)
2367
Documents you may be interested
Documents you may be interested