diff options
| author | Bo Peng | 2025-05-15 07:07:26 +0000 |
|---|---|---|
| committer | Bo Peng | 2025-05-15 07:07:26 +0000 |
| commit | bf0902f032abfd9dc76ea75074e3b673a478e339 (patch) | |
| tree | 4ee6d0fd4334633e11adc3dfc7bad9b6041fc7f5 | |
| parent | d72bb83fe5c109944a40fe368faea7a9af59f7f6 (diff) | |
Doc: Update release notes to include details of the vulnerability fix.
| -rw-r--r-- | doc.ja/src/sgml/release-4.2.sgml | 40 | ||||
| -rw-r--r-- | doc.ja/src/sgml/release-4.3.sgml | 38 | ||||
| -rw-r--r-- | doc.ja/src/sgml/release-4.4.sgml | 38 | ||||
| -rw-r--r-- | doc.ja/src/sgml/release-4.5.sgml | 38 | ||||
| -rw-r--r-- | doc.ja/src/sgml/release-4.6.sgml | 38 | ||||
| -rw-r--r-- | doc/src/sgml/release-4.2.sgml | 46 | ||||
| -rw-r--r-- | doc/src/sgml/release-4.3.sgml | 46 | ||||
| -rw-r--r-- | doc/src/sgml/release-4.4.sgml | 46 | ||||
| -rw-r--r-- | doc/src/sgml/release-4.5.sgml | 46 | ||||
| -rw-r--r-- | doc/src/sgml/release-4.6.sgml | 46 |
10 files changed, 421 insertions, 1 deletions
diff --git a/doc.ja/src/sgml/release-4.2.sgml b/doc.ja/src/sgml/release-4.2.sgml index be9fb7410..823879cc9 100644 --- a/doc.ja/src/sgml/release-4.2.sgml +++ b/doc.ja/src/sgml/release-4.2.sgml @@ -127,6 +127,44 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [a5d2324] + --> + <para> + クライアント認証が正しく実行されない場合があるのを修正しました。(Tatsuo Ishii) + </para> + <para> + enable_pool_hbaがonで、auth methodが"password"、pool_passwdにパスワードが登録されておらず、pg_hba.confの認証方式が"scram-sha-256"か"md5"の場合、クライアントが最初にpgpoolに接続したときには認証が期待通りに実行されます。 + しかし、クライアントがキャッシュされたコネクションに接続すると、任意のパスワードが通ってしまいます。 + </para> + <para> + また、enable_pool_hba = offのいくつかのケースでは、本来パスワードが聞かれるはずが、最初からパスワードが聞かれない、あるいはキャッシュされたコネクションに接続した時にはパスワードが聞かれないことがありました。 + </para> + <para> + 上記を修正するのに加え、以下の変更を行いました。 + </para> + <itemizedlist> + <listitem> + <para> + 認証コードを単純化するために、PostgreSQLが1台の時のコードパスを削除しました。 + </para> + </listitem> + <listitem> + <para> + crypt認証のサポートをフロントエンドとバックエンドから削除しました。 + この機能はドキュメントに書かれておらず、テストもされていませんでした。 + また、crypt認証はPostgreSQLではだいぶ以前(8.4, 2009)に削除されています。 + </para> + </listitem> + <listitem> + <para> + 新しい回帰テストの"040.client_auth"を追加しました。 + このテストは、CSV形式のテスト設定ファイルを使って、包括的なクライアント認証のテストを実施します。 + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> @@ -146,7 +184,7 @@ ディスカッション: <ulink url="https://www.pgpool.net/pipermail/pgpool-general/2025-April/009430.html">[pgpool-general: 9427] Clarification on query results cache visibility</ulink> </para> </listitem> - <listitem> + <listitem> <!-- 2025-05-02 [1dfacffed] --> diff --git a/doc.ja/src/sgml/release-4.3.sgml b/doc.ja/src/sgml/release-4.3.sgml index 4f24aed34..4d6db27b0 100644 --- a/doc.ja/src/sgml/release-4.3.sgml +++ b/doc.ja/src/sgml/release-4.3.sgml @@ -127,6 +127,44 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [5397090] + --> + <para> + クライアント認証が正しく実行されない場合があるのを修正しました。(Tatsuo Ishii) + </para> + <para> + enable_pool_hbaがonで、auth methodが"password"、pool_passwdにパスワードが登録されておらず、pg_hba.confの認証方式が"scram-sha-256"か"md5"の場合、クライアントが最初にpgpoolに接続したときには認証が期待通りに実行されます。 + しかし、クライアントがキャッシュされたコネクションに接続すると、任意のパスワードが通ってしまいます。 + </para> + <para> + また、enable_pool_hba = offのいくつかのケースでは、本来パスワードが聞かれるはずが、最初からパスワードが聞かれない、あるいはキャッシュされたコネクションに接続した時にはパスワードが聞かれないことがありました。 + </para> + <para> + 上記を修正するのに加え、以下の変更を行いました。 + </para> + <itemizedlist> + <listitem> + <para> + 認証コードを単純化するために、PostgreSQLが1台の時のコードパスを削除しました。 + </para> + </listitem> + <listitem> + <para> + crypt認証のサポートをフロントエンドとバックエンドから削除しました。 + この機能はドキュメントに書かれておらず、テストもされていませんでした。 + また、crypt認証はPostgreSQLではだいぶ以前(8.4, 2009)に削除されています。 + </para> + </listitem> + <listitem> + <para> + 新しい回帰テストの"040.client_auth"を追加しました。 + このテストは、CSV形式のテスト設定ファイルを使って、包括的なクライアント認証のテストを実施します。 + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc.ja/src/sgml/release-4.4.sgml b/doc.ja/src/sgml/release-4.4.sgml index 74400db2b..da942a8f7 100644 --- a/doc.ja/src/sgml/release-4.4.sgml +++ b/doc.ja/src/sgml/release-4.4.sgml @@ -127,6 +127,44 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [bcc6727] + --> + <para> + クライアント認証が正しく実行されない場合があるのを修正しました。(Tatsuo Ishii) + </para> + <para> + enable_pool_hbaがonで、auth methodが"password"、pool_passwdにパスワードが登録されておらず、pg_hba.confの認証方式が"scram-sha-256"か"md5"の場合、クライアントが最初にpgpoolに接続したときには認証が期待通りに実行されます。 + しかし、クライアントがキャッシュされたコネクションに接続すると、任意のパスワードが通ってしまいます。 + </para> + <para> + また、enable_pool_hba = offのいくつかのケースでは、本来パスワードが聞かれるはずが、最初からパスワードが聞かれない、あるいはキャッシュされたコネクションに接続した時にはパスワードが聞かれないことがありました。 + </para> + <para> + 上記を修正するのに加え、以下の変更を行いました。 + </para> + <itemizedlist> + <listitem> + <para> + 認証コードを単純化するために、PostgreSQLが1台の時のコードパスを削除しました。 + </para> + </listitem> + <listitem> + <para> + crypt認証のサポートをフロントエンドとバックエンドから削除しました。 + この機能はドキュメントに書かれておらず、テストもされていませんでした。 + また、crypt認証はPostgreSQLではだいぶ以前(8.4, 2009)に削除されています。 + </para> + </listitem> + <listitem> + <para> + 新しい回帰テストの"040.client_auth"を追加しました。 + このテストは、CSV形式のテスト設定ファイルを使って、包括的なクライアント認証のテストを実施します。 + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc.ja/src/sgml/release-4.5.sgml b/doc.ja/src/sgml/release-4.5.sgml index e6f4a7c02..30cde86af 100644 --- a/doc.ja/src/sgml/release-4.5.sgml +++ b/doc.ja/src/sgml/release-4.5.sgml @@ -127,6 +127,44 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [316d115] + --> + <para> + クライアント認証が正しく実行されない場合があるのを修正しました。(Tatsuo Ishii) + </para> + <para> + enable_pool_hbaがonで、auth methodが"password"、pool_passwdにパスワードが登録されておらず、pg_hba.confの認証方式が"scram-sha-256"か"md5"の場合、クライアントが最初にpgpoolに接続したときには認証が期待通りに実行されます。 + しかし、クライアントがキャッシュされたコネクションに接続すると、任意のパスワードが通ってしまいます。 + </para> + <para> + また、enable_pool_hba = offのいくつかのケースでは、本来パスワードが聞かれるはずが、最初からパスワードが聞かれない、あるいはキャッシュされたコネクションに接続した時にはパスワードが聞かれないことがありました。 + </para> + <para> + 上記を修正するのに加え、以下の変更を行いました。 + </para> + <itemizedlist> + <listitem> + <para> + 認証コードを単純化するために、PostgreSQLが1台の時のコードパスを削除しました。 + </para> + </listitem> + <listitem> + <para> + crypt認証のサポートをフロントエンドとバックエンドから削除しました。 + この機能はドキュメントに書かれておらず、テストもされていませんでした。 + また、crypt認証はPostgreSQLではだいぶ以前(8.4, 2009)に削除されています。 + </para> + </listitem> + <listitem> + <para> + 新しい回帰テストの"040.client_auth"を追加しました。 + このテストは、CSV形式のテスト設定ファイルを使って、包括的なクライアント認証のテストを実施します。 + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc.ja/src/sgml/release-4.6.sgml b/doc.ja/src/sgml/release-4.6.sgml index a34c18d69..33e2bebba 100644 --- a/doc.ja/src/sgml/release-4.6.sgml +++ b/doc.ja/src/sgml/release-4.6.sgml @@ -124,6 +124,44 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [d92a7e2c1] + --> + <para> + クライアント認証が正しく実行されない場合があるのを修正しました。(Tatsuo Ishii) + </para> + <para> + enable_pool_hbaがonで、auth methodが"password"、pool_passwdにパスワードが登録されておらず、pg_hba.confの認証方式が"scram-sha-256"か"md5"の場合、クライアントが最初にpgpoolに接続したときには認証が期待通りに実行されます。 + しかし、クライアントがキャッシュされたコネクションに接続すると、任意のパスワードが通ってしまいます。 + </para> + <para> + また、enable_pool_hba = offのいくつかのケースでは、本来パスワードが聞かれるはずが、最初からパスワードが聞かれない、あるいはキャッシュされたコネクションに接続した時にはパスワードが聞かれないことがありました。 + </para> + <para> + 上記を修正するのに加え、以下の変更を行いました。 + </para> + <itemizedlist> + <listitem> + <para> + 認証コードを単純化するために、PostgreSQLが1台の時のコードパスを削除しました。 + </para> + </listitem> + <listitem> + <para> + crypt認証のサポートをフロントエンドとバックエンドから削除しました。 + この機能はドキュメントに書かれておらず、テストもされていませんでした。 + また、crypt認証はPostgreSQLではだいぶ以前(8.4, 2009)に削除されています。 + </para> + </listitem> + <listitem> + <para> + 新しい回帰テストの"040.client_auth"を追加しました。 + このテストは、CSV形式のテスト設定ファイルを使って、包括的なクライアント認証のテストを実施します。 + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc/src/sgml/release-4.2.sgml b/doc/src/sgml/release-4.2.sgml index e88e2d90d..94af553da 100644 --- a/doc/src/sgml/release-4.2.sgml +++ b/doc/src/sgml/release-4.2.sgml @@ -141,6 +141,52 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [a5d2324] + --> + <para> + Fix incorrect client authentication in some cases. (Tatsuo Ishii) + </para> + <para> + If enable_pool_hba = on, it's auth method is "password", no + password is registered in pool_passwd, and auth method in + pg_hba.conf is "scram-sha-256" or "md5", for the first time when + a client connects to pgpool, authentication is performed as + expected. But if a client connects to the cached connection, any + password from the client is accepted. + </para> + <para> + Also if enable_pool_hba = off, in some cases a client is not + asked password for the first time, or when a client connects to + cached connection, even if it should be. + </para> + <para> + In addition to fixing above, following changes are made: + </para> + <itemizedlist> + <listitem> + <para> + Remove single PostgreSQL code path to simplify the authentication code. + </para> + </listitem> + <listitem> + <para> + Remove crypt authentication support for frontend and + backend. The feature had not been documented and never + tested. Moreover crypt authentication was removed long time + ago in PostgreSQL (8.4, 2009). + </para> + </listitem> + <listitem> + <para> + Add new regression test "040.client_auth". The test performs + exhaustive client authentication tests using a test + specification file formatted in CSV. + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc/src/sgml/release-4.3.sgml b/doc/src/sgml/release-4.3.sgml index a4aed099d..733e5db53 100644 --- a/doc/src/sgml/release-4.3.sgml +++ b/doc/src/sgml/release-4.3.sgml @@ -141,6 +141,52 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [5397090] + --> + <para> + Fix incorrect client authentication in some cases. (Tatsuo Ishii) + </para> + <para> + If enable_pool_hba = on, it's auth method is "password", no + password is registered in pool_passwd, and auth method in + pg_hba.conf is "scram-sha-256" or "md5", for the first time when + a client connects to pgpool, authentication is performed as + expected. But if a client connects to the cached connection, any + password from the client is accepted. + </para> + <para> + Also if enable_pool_hba = off, in some cases a client is not + asked password for the first time, or when a client connects to + cached connection, even if it should be. + </para> + <para> + In addition to fixing above, following changes are made: + </para> + <itemizedlist> + <listitem> + <para> + Remove single PostgreSQL code path to simplify the authentication code. + </para> + </listitem> + <listitem> + <para> + Remove crypt authentication support for frontend and + backend. The feature had not been documented and never + tested. Moreover crypt authentication was removed long time + ago in PostgreSQL (8.4, 2009). + </para> + </listitem> + <listitem> + <para> + Add new regression test "040.client_auth". The test performs + exhaustive client authentication tests using a test + specification file formatted in CSV. + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc/src/sgml/release-4.4.sgml b/doc/src/sgml/release-4.4.sgml index 1d002971d..5a05025e6 100644 --- a/doc/src/sgml/release-4.4.sgml +++ b/doc/src/sgml/release-4.4.sgml @@ -141,6 +141,52 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [bcc6727] + --> + <para> + Fix incorrect client authentication in some cases. (Tatsuo Ishii) + </para> + <para> + If enable_pool_hba = on, it's auth method is "password", no + password is registered in pool_passwd, and auth method in + pg_hba.conf is "scram-sha-256" or "md5", for the first time when + a client connects to pgpool, authentication is performed as + expected. But if a client connects to the cached connection, any + password from the client is accepted. + </para> + <para> + Also if enable_pool_hba = off, in some cases a client is not + asked password for the first time, or when a client connects to + cached connection, even if it should be. + </para> + <para> + In addition to fixing above, following changes are made: + </para> + <itemizedlist> + <listitem> + <para> + Remove single PostgreSQL code path to simplify the authentication code. + </para> + </listitem> + <listitem> + <para> + Remove crypt authentication support for frontend and + backend. The feature had not been documented and never + tested. Moreover crypt authentication was removed long time + ago in PostgreSQL (8.4, 2009). + </para> + </listitem> + <listitem> + <para> + Add new regression test "040.client_auth". The test performs + exhaustive client authentication tests using a test + specification file formatted in CSV. + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc/src/sgml/release-4.5.sgml b/doc/src/sgml/release-4.5.sgml index 1b3962104..2f3966018 100644 --- a/doc/src/sgml/release-4.5.sgml +++ b/doc/src/sgml/release-4.5.sgml @@ -138,6 +138,52 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [316d115] + --> + <para> + Fix incorrect client authentication in some cases. (Tatsuo Ishii) + </para> + <para> + If enable_pool_hba = on, it's auth method is "password", no + password is registered in pool_passwd, and auth method in + pg_hba.conf is "scram-sha-256" or "md5", for the first time when + a client connects to pgpool, authentication is performed as + expected. But if a client connects to the cached connection, any + password from the client is accepted. + </para> + <para> + Also if enable_pool_hba = off, in some cases a client is not + asked password for the first time, or when a client connects to + cached connection, even if it should be. + </para> + <para> + In addition to fixing above, following changes are made: + </para> + <itemizedlist> + <listitem> + <para> + Remove single PostgreSQL code path to simplify the authentication code. + </para> + </listitem> + <listitem> + <para> + Remove crypt authentication support for frontend and + backend. The feature had not been documented and never + tested. Moreover crypt authentication was removed long time + ago in PostgreSQL (8.4, 2009). + </para> + </listitem> + <listitem> + <para> + Add new regression test "040.client_auth". The test performs + exhaustive client authentication tests using a test + specification file formatted in CSV. + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> diff --git a/doc/src/sgml/release-4.6.sgml b/doc/src/sgml/release-4.6.sgml index 7767d4f27..9becfdbc6 100644 --- a/doc/src/sgml/release-4.6.sgml +++ b/doc/src/sgml/release-4.6.sgml @@ -138,6 +138,52 @@ <itemizedlist> <listitem> <!-- + 2025-05-13 [d92a7e2c1] + --> + <para> + Fix incorrect client authentication in some cases. (Tatsuo Ishii) + </para> + <para> + If enable_pool_hba = on, it's auth method is "password", no + password is registered in pool_passwd, and auth method in + pg_hba.conf is "scram-sha-256" or "md5", for the first time when + a client connects to pgpool, authentication is performed as + expected. But if a client connects to the cached connection, any + password from the client is accepted. + </para> + <para> + Also if enable_pool_hba = off, in some cases a client is not + asked password for the first time, or when a client connects to + cached connection, even if it should be. + </para> + <para> + In addition to fixing above, following changes are made: + </para> + <itemizedlist> + <listitem> + <para> + Remove single PostgreSQL code path to simplify the authentication code. + </para> + </listitem> + <listitem> + <para> + Remove crypt authentication support for frontend and + backend. The feature had not been documented and never + tested. Moreover crypt authentication was removed long time + ago in PostgreSQL (8.4, 2009). + </para> + </listitem> + <listitem> + <para> + Add new regression test "040.client_auth". The test performs + exhaustive client authentication tests using a test + specification file formatted in CSV. + </para> + </listitem> + </itemizedlist> + </listitem> + <listitem> + <!-- 2025-05-08 [e3451b560] --> <para> |