# E.57\. 發布8.3.20 > **發布日期:** 2012-08-17 該發布包含來自8.3.19各種修復，關于8.3主要發布中新特性信息， 參閱[Section E.77](#calibre_link-34)。 PostgreSQL社區在2013年2月為8.3.X發布系列停止發布更新。 鼓勵用戶盡快更新到新版本分支。 ## E.57.1\. 遷移到版本8.3.20 運行8.3.X不需要備份/恢復。 然而，如果從8.3.17更早版本更新，參閱8.3.17發布說明。 ## E.57.2\. 變化 * 防止通過XML實體引用訪問外部文件/URL(Noah Misch, Tom Lane) `xml_parse()`會試圖獲取外部文件或作為需要解決DTD和XML值中實體引用的URL， 從而使未經授權的數據庫用戶試圖獲取帶有數據庫服務器權限的數據。 當外部數據不會直接返回給用戶的時候，它的部分可以暴露在錯誤信息中， 如果數據沒有解析為有效的XML;并且在任何情況下檢查文件存在的單純能力可能對攻擊者有用。 * 避免通過`contrib/xml2`的`xslt_process()`訪問外部文件/URL(Peter Eisentraut) libxslt提供了通過樣式表命令文件和URL讀取和寫入能力， 從而使未經授權的數據庫用戶讀取和寫入具有數據庫服務器的權限數據。 禁用正確使用libxslt的安全選項。(CVE-2012-3488) 此外，刪除`xslt_process()`從外部文件/URL中獲取文件和樣式表。 當這是一個記錄"特性"的時候，長期被視為一個壞主意。 為CVE-2012-3489的修復中斷這種能力，而非耗費精力試圖修復它，我們只是簡單將其刪除。 * 防止過早回收利用btree索引頁(Noah Misch) 當我們允許只讀事務跳過指定XID的時候，我們 引入一種可能性即一個已刪除btree頁可能被循環利用，而只讀事務還在運行中。 這會導致不正確的索引搜索結果。發生在該字段中這種錯誤的可能性似乎非常低， 因為定時要求，但盡管如此它應該被修復。 * 修復新創建或者重置序列的崩潰安全錯誤(Tom Lane) 如果`ALTER SEQUENCE`在新創建或重置序列中被執行， 然后精確執行`nextval()`調用， 之后服務器崩潰，WAL重播將恢復序列到一個狀態，它似乎沒有`nextval()`被完成， 因此允許第一個序列值通過下一個`nextval()`調用再次被返回。 特別是，這可能表現為`serial`列， 因為串行列的序列的創建包括`ALTER SEQUENCE OWNED BY`步驟。 * 確保`backup_label`文件在`pg_start_backup()`之后 是fsync的(Dave Kerr) * 回到補丁9.1改進以壓縮fsync請求隊列(Robert Haas) 這提高了檢查點期間性能。9.1變化已經有足夠字段測試對于備份補丁是安全的。 * 僅僅允許autovacuum通過直接阻斷進程被自動取消(Tom Lane) 原編碼可能允許某些情況下不一致操作；尤其是，autovacuum在小于`deadlock_timeout` 寬限期后可能被取消。 * 提高autovacuum取消的記錄(Robert Haas) * 修復日志收集器以致于服務器啟動后第一個日志循環期間`log_truncate_on_rotation`可以運行(Tom Lane) * 確保子查詢的整行引用不包含任何額外的`GROUP BY`或者`ORDER BY`列(Tom Lane) * 不允許`CHECK`限制中拷貝整行引用以及`CREATE TABLE`中索引定義(Tom Lane) 這種情況可以產生于具有`LIKE`或者`INHERITS`的`CREATE TABLE`中。 拷貝的整個行變量被錯誤地標記為原表的行類型不是新的。 拒絕該種情況對`LIKE`似乎是合理的， 因為該行類型很可能之后存在分歧， 為`INHERITS`我們理論上允許它，帶有隱含強制父表行類型； 但是這比似乎安全的備份補丁需要更多的工作。 * 修復`ARRAY(SELECT ...)`子查詢中內存泄露(Heikki Linnakangas, Tom Lane) * 修復從正則表達式中常見前綴的提取(Tom Lane) 該代碼可以通過量化括號子表達式被混淆，比如`^(foo)?bar`。 這可能導致搜索這種模式的不正確索引優化。 * 正確報告`contrib/xml2`的`xslt_process()`中的錯誤(Tom Lane) * 為Morocco和Tokelau中DST變化更新時區數據文件到tzdata發布2012e。