# E.195\. 版本 7.3.10 > **發布日期:** 2005-05-09 這個版本包含各種自7.3.9以來的補丁，包括幾個安全相關的問題。 ## E.195.1\. 遷移到版本 7.3.10 運行7.3.X的不需要轉儲/恢復。不過， 轉儲/恢復是處理在7.3.X系統目錄中的初始化內容中發現的重大安全問題的一種方式。 使用7.3.10的initdb的dump/initdb/reload序列將自動改正這個問題。 安全問題是非特權用戶可以通過SQL命令引用內建字符設置編碼轉換函數， 但是該函數不是這樣使用的，并且對于惡意的參數選擇是不安全的。 修復包括改變這些函數聲明的參數列表，這樣它們可以不再被SQL命令調用。 （這樣并不影響它們通過編碼轉換機制的正常使用。） 強烈推薦所有安裝修復這個錯誤，通過initdb或通過下面給出的手動修復過程。 該錯誤至少允許非特權數據庫用戶毀壞他們的服務器進程， 甚至可能允許非特權用戶獲得數據庫超級用戶的權限。 如果你希望不做initdb，那么執行下列的過程。作為數據庫超級用戶，執行： ``` BEGIN; UPDATE pg_proc SET proargtypes[3] = 'internal'::regtype WHERE pronamespace = 11 AND pronargs = 5 AND proargtypes[2] = 'cstring'::regtype; -- 該命令應該報告已經更新了90行; -- 如果不是，那么回滾并調查而不是提交! COMMIT; ``` 上面的程序必須在_每個_安裝的數據庫中執行，包括`template1`， 并且理論上也包括`template0`。如果你不修復模板數據庫， 那么任何隨后創建的數據庫將包含相同的錯誤。`template1` 可以用與任意其他數據庫相同的方式修復，但是修復`template0` 需要額外的步驟。首先，從任意數據庫發出： ``` UPDATE pg_database SET datallowconn = true WHERE datname = 'template0'; ``` 然后連接到`template0`并執行以上所述的修復程序。最后，執行： ``` -- 重新凍結template0: VACUUM FREEZE; -- 保護它免受未來的變化: UPDATE pg_database SET datallowconn = false WHERE datname = 'template0'; ``` ## E.195.2\. 修改列表 * 改變編碼函數簽名以阻止濫用 * 修復古老競態條件，該條件允許一個事務因為某些目的(如 SELECT FOR UPDATE)被視作已提交 這是一個極其嚴重的bug，因為它會導致表面數據的不一致性被應用短暫的看到。 * 修復相關擴展和VACUUM之間的競態條件 這理論上可能導致丟失新近插入的數據的一個頁面，盡管情況看起來概率很低。 沒有導致多于一個維護失敗的已知情況。 * 修復了`TIME WITH TIME ZONE`值的比較 當使用`--enable-integer-datetimes`配置開關時，該比較代碼是錯誤的。 注意：如果你在`TIME WITH TIME ZONE`字段上有索引， 它將需要在安裝這個更新后`REINDEX`，因為這個修復糾正了字段值的順序。 * 為`TIME WITH TIME ZONE`值修復了`EXTRACT(EPOCH)` * 修復了`INTERVAL`值中負分數秒的錯誤顯示 這個錯誤只有在使用了`--enable-integer-datetimes`配置開關的時候發生。 * 在plpgsql中額外的緩沖區溢出檢查(Neil) * 修復pg_dump轉儲觸發器名字正確的包含`%`(Neil) * 阻止`to_char(interval)`為月份相關的格式轉儲內核 * 為更新的OpenSSL構建修復`contrib/pgcrypto`(Marko Kreen) * 為`contrib/intagg`修復更多的64位問題 * 阻止返回`RECORD`的函數的不正確的最優化