Forgotten in previous commit

Fix to output debug messages in processing pgpool.conf with -d option

In previous, debug messages in pool_get_config() ware not output
even when -d option was used.

Fix a segmentation fault in parallel mode with system_db_hostname is empty

When system_db_hostname is empty, unix domain socket should be used.
However, the directory containing the socket file was't specified in this
case, and the initialization of system DB connection failed. This caused
segmentation fault, when processing a query to system db.

Fix memory leak.

Per Coverity 1111446.

Fix freeing NULL.

free_systemdb_info() should check if the argument is NULL or not.
Per Coverity 1111384.

Fix possible buffer overrun.

Replace strcpy() with strlcpy(). Per Coverity report 1111478, 1111480,
1111481.

Fix possible buffer overrun problem and memory leak.

To fix the memory leak problem, now libs/pcp/libpcp.a links
strlcpy.o. For this purpose, libs/pcp/Makefile.am is also modified.
Per Coverity 1111465 and 1111482. Also add symlink to pcp/strlcpy.

Avoid to send queries to unrelated nodes in streaming replication mode.

Pgpool-II sends certain queries, such as BEGIN, END and SET commands to
all of DB nodes. However in streaming replication mode, only primary
node and at most one standby node are only concerned (if primacy node
is selected as the load balance node, only 1 node is concerned).

Think about 3 nodes cluster. Node 0 is primary, node 1 and 2 are
standby servers. Node 1 is selected as the load balance node. In this
case no query is needed to be sent to node 2, because DMLs are sent to
node 0 while SELECTs are sent to node 1.

For this purpose pool_setall_node_to_be_sent() is modified to only set
related nodes on the where_to_send node map. See [pgpool-hackers: 464]
for more details.

Fix jdbc DML fails when operated in raw mode and auto commit is off.

When autocommit is off, bind() needs to start a transaction (if not
already in) for DMLs and do an insert lock if sequences are used in
replication mode. The fix was made into pgpool-II
3.3.2. Unfortunately, the fix forgot that it should be applied only
for replication mode. For other mode, that is not needed at all. The
bug reported in #92 happens when operated in raw mode and auto commit
is off.  When parse() executes it does not start a transaction because
we are in raw mode.  Then bind() starts a transaction by issuing
"BEGIN" which destroys the unnamed statement and the failure occurs.

Per bug #92.

Fix primary node detection logic.

There's a possibility that primary node is not detected. This happens
in following situation.  node 0: primary, node 1: standby. Node 0 goes
down. Health checking detects the fact but local status is not updated
yet. Primary node finding (find_primary_node) runs. Node 0's status is
yet healthy. Because find_primary_node fails to connect to node 0, it
immediately returns -1 and fails to find that fact that node 1 is now
primary.

Fix is just continuing to look for primary node when fails to connect
to a node.

Per [pgpool-general: 2409].

Fix cache locality of unlogged tables detection code.

It was mistakenly defined as a session local cache, which causes
unwanted cache invalidation at session starting, which brings bad
performance. Pointed out at [pgpool-hackers: 435][[pgpool-general:
2325].

Fix conflict caused by previous commit.

Fix conflict caused by previous commit.

Fix conflict caused by previous commit.

Add mention about listen queue and how to increase the backlog in the num_init_children section.

Fix typo

Prepare 3.1.10

Fix resource leak in make_persistent_db_connection.

For this pupose, new static function
free_persisten_db_connection_memory is added.
Per Coverity report #1111468.

Fix strftime() usage in pool_pools().

The buffer is not large enough as expected by the second parameter.
This is not harmless because the format string will not produce longer
result string than the buffer.

Per Coverity report 1111426 "Out-of-bounds access".

Fix pool_send_severity_message(). Message buffer is 1 byte small.

Per Coverity report 1111432 "Out-of-bounds access".

Fix read_kind_from_backend() possible segfault when all backend down.

Per Coverity report 1111414 "Negative array index read".

Fix buffer overrun when ps string is longer than 1023.

In reality this could hardly occur, but bug is a bug.
Per Coverity report 1111427 "Out-of-bounds write".

Fix uninialized variables when all nodes are down.

Per Coverity report 1111489 and 1111490.

Fix possible segfault in CopyDataRaws().

Coverity pointed out that if pool_get_id() returns an error,
VALID_BACKEND will access out of array.  Per Coverity report 1111413
"Memory - illegal accesses".

Fix buffer overrun bug and resource leak bug of parse_copy_data().

Per Coverity report 1111427 "Out-of-bounds write" and 1111453
"Resource leak".

Fix to add node id range check when issue an error message using node id.

Per Coverity report #1111433 "Out-of-bounds read".

Remove unused code.

Per Coverity report #1111487 "Uninitialized pointer read".

Fix uninitialized variable in error case in pool_do_auth().

If there's no valid backend, pgpool will return garbage pid to
frontend in auth phase. Actually because no backend is available,
frontend will be disconnected later on. So this is not harmless.
Per Coverity report "1127331 Uninitialized scalar variable".

Fix that the script forgets to allow public access to pgpool_catalog.

The bug prevents inserting data into user tables if pgpool_catalog is
created in native replication mode.  The bug was there from day 1. I
wonder why nobody noticed until today.  Per [pgpool-general-jp: 1229].

Do not set/unset fronted connection info for dead backend.

Per bug #82.

Fix range check bug of MAX_NUM_BACKENDS in corner case.

MAX_NUM_BACKENDS is the allowed max number of DB nodes (128, at this
point). In reality, probably no one ever tried more than 128 DB nodes
and that's the reason why nobody noticed.

Per Coverity report "1111429, 1111430 and 1111431 Out-of-bounds
write".

Fix target node selection logic when "DEALLOCATE portal|statement".

When "DEALLOCATE portal|statement" is used and last prepared statement
or portal was not found, target node selection map is not
set. Probably this is not actually harmful because prepared statement
or portal was not found is an error case. The bug was there since day
0.

Per Coverity report "1111491 Structurally dead code".

Fix memory leak when do_query() fails in timestamp rewriting.

For this purpose free_select_result() is changed to accept NULL
argument.  Per Coverity report "1111454, 1111455 Resource leak".

Fix memory leak when SSL is requested.

When SSL is requested, pgpool child retries to read start up packet.
However it does not free the memory for previous start up packet.

Per Coverity report "1111443 Resource".

Fix to check return status of pool_read().

Per Coverity report "1111374 Unchecked return value.

Fix error message in read_password_packet().

Fix on_shmem_exit() to not accept too many on exit functions.

Actually harmless because we currently do not such that many on exit
functions. But a bug is a bug...

Per Coverity report "1025973 Out-of-bounds write".

Fix memory leak in certain error case.

Per Coverity report "1111457 Resource leak".

Fix memory leak when do_query() fails.

Per Coverity report "1111444 Resource leak".

Fix data inconsistency problem with native replication mode + extended protocol case.

It is reported that concurrent INSERT using JDBC driver causes data
difference among database node. This only happens following conditions
are all met:

1) Native replication mode
2) Extended protocol used
3) The portal created by parse message is reused by bind message
4) autocommit is on
5) SERIAL (sequence) is used

Pgpool-II's parse message function knows it has to lock the target
table when INSERT (plus #5) is issued by clients. Unfortunately bind
message function did not know it. Once parse/bind/execute finishes,
pgpool releases the lock obtained by parse because of #4. JDBC wants
to reuse the portal and starts the cycle from bind message, which does
not obtain lock. As as result, lock-free INSERT are floating around
which causes data inconsistency of course.  The solution is, lock the
table in bind phase.

For this bind needs to issue LOCK in extended protocol. This was a
little bit hard because the module (do_command()) to issue internal
SQL command (other than SELECT) does not support extended protocol. To
solve the problem do_query() is modified so that it accepts other than
SELECT because it already accepts extended protocol. The modification
is minimum and is only tested for the case called from insert_lock(). I
do not recommend to replace every occurrence of do_command() with
do_query() at this point.

BTW the reason why the bug is not reported is, most users uses JDBC
with auto commit = off. In this case, the lock obtained by parse
persists until user explicitly issues commit or rollback.

Per bug report by Steve Kuekes in [pgpool-general: 2142].

Avoid calling find_primary_node_repeatedly() when standby node goes down.

This will reduce the time to failover. Per bug #75, patch modified by
Tatsuo Ishii.

Modify descriptions about restrictions of parallel mode

Muliple rows INSERT using VALUES are not supported in parallel mode.

Fix segfault when pgpool.conf does not set log_standby_delay.

This is caused by wrong initialization for log_standby_delay in
pool_config.l. Per bug#74.

Remove -lcompat because it confuses FreeBSD per bug#15.

Replace pg_config by $(PG_CONFIG) in Makefiles so it can be overridden at build time when compiling for different PG major versions.

Patch contributed by Christoph Berg ([pgpool-general: 2127]).

Fix incorrect time stamp rewriting in replication mode for certain time zones.

Time stamp rewriting calls "SELECT now()" to get current
time. Unfortunately the buffer for the current time is too small for
certain time zones such as "02:30". Note that non-30-minutes-time-zone
such as "0900" does not reveal the problem. This explains why we
haven't the bug report until today. Bug reported in [pgpool-general:
2113] and fix provided by Sean Hogan.

Prepare 3.1.9

Prepare 3.1.9

Fix a typo of the japanese document

Fix bug in parsing prepared statements with transaction handling in replication mode reported in [pgpool-general: 1877].

Parse() automatically starts a transaction for non SELEC query to keep
consistency among nodes in replication mode. But it does not set
allow_close_transaction variable. If wrong query comes in, the
transaction goes into an abort state but pgpool does not close the
transaction. Thus next query causes error because the transaction is
still in abort status.

Fix mistake in ssh command.

Prepare 3.1.8

Fix to verify the backend node number in pcp_recovery_node

When an invalid number is used, null value is passed as an arguments
of recovery script, and this causes a malfunction. In especially,
rsync may delete unrelated files in basebackup scripts.

Add ssl_ca_cert and ssl_ca_cert_dir descriptions to the japanese document

Move ssl_ca_cert and ssl_ca_cert_dir descriptions to the SSL section

Merge branch 'V3_1_STABLE' of ssh://git.postgresql.org/pgpool2 into V3_1_STABLE

Fix segmentation fault of child that occurs when startup packet has
no PostgreSQL user information.

When a startup packet has no PostgreSQL user specified, pgpool-II
terminated abnormally. You can reproduce it by

 $ psql -p 9999 -U ''

If enable_pool_hba is on, a child process terminates by segmentation
fault. Otherwise if enable_pool_hba is off, the error message is

 ERROR: pool_discard_cp: cannot get connection pool for user (null) database (null)

In both cases, psql terminates with no message on frontend.

To resolve it, if PostgreSQL user is not specified in startup packet,
the message as following is output to both log and frontend. This is
the same behavior as PostgreSQL.

 FATAL: no PostgreSQL user name specified in startup packet

Fix pg_md5 command crash.

Fix contributed by Muhammad Usama(from [pgpool-hackers: 302])

While looking at the pgpool-II code I found a potential crash or stack
smash in pg_md5 utility.
The problem is update_pool_passwd() calls pg_md5_encrypt() function to get
the md5 password, and the password format generated by pg_md5_encrypt()
function is
"md5" followed by 32-hex digits, which sums up to 35 characters while the
host variable defined in update_pool_passwd() function to hold this
password can contain maximum 32 characters.

Register pgpool_regclass in pg_catalog schema.  This is necessary to
deal with clients which restricts schema search path to pg_catalog
only. Postgres_fdw is such a client.

Update copyright year.

Fix bug with do_query which causes hung in extended protocol.

When insert lock is enabled and pgpool_catalog.insert_lock exists,
pgpool-II looks for the row which matches the oid of the target
table. If non, pgpool-II will insert the row to obtain a row lock.
The bug was in the process looking for the row. If extended protocol
is used, pgpool-II was waiting for the row data forever which will
never come because there's no such a row in the table. The fix is when
"command complete" received, let pgpool-II regards as if "data row"
received. The bug was introduced when 3.2.1 was released. A
reproducable test case is provided by Karsten Düsterloh.  See
[pgpool-general: 1684] for more details.

Fix unnecessary degeneration caused by error on commit.

A commit could fail by certain condition including deferred
triggers. If the trigger is related to DML, only the primary fails
because standbys never gets executed such DML in streaming replication
mode. This lead to "kind mismatch error", which causes failover or
session close. This is reported in bug #60, and the reporter claims
that it should not trigger the failover or the session close, rather
continue the session and just report the error on the primary. I think
his complain is fair since in replication mode, such error does not
cause failover or session close. So I make read_kind_from_backend() a
little smarter to not cause failover or session close if only primary
fails on commit in streaming replication mode.

Fix do_query() not to hang when PostgreSQL returns an error.

The typical symptom is "I see SELECT is keep on running according to
pg_stat_activity".  To fix this pgpool-II just exits the process and
kill the existig connection.  This is not gentle but at this point I
believe this is the best solution. Here is an excerpt from source
code:
/*
 * This is fatal. Because: If we operate extended
 * query, backend would not accept subsequent commands
 * until "sync" message issued. However, if sync
 * message issued, unnamed statement/unnamed portal
 * will disappear and will cause lots of problems.  If
 * we do not operate extended query, ongoing
 * transaction is aborted, and subsequent query would
 * not accepted.  In summary there's no transparent
 * way for frontend to handle error case. The only way
 * is closing this session.
 */

Comment out backend1 data. This should have been done before since
pgpool.conf.sample has already done this.

Fix description on SSL.

Fix %H in trigger_failover() to assign new primary node.

Before it assigns the result of get_next_master_node(), which is not
correct in streaming replication mode, which is not necessarily same
as the primary node id. This causes problem in follow_master_command.
Please note that %m(new master node) properly uses passed new
master(or primary) node id. See [pgpool-hackers: 219] for more
details.

Consider timeout waiting for compeletion of failback request in on line recovery.

This will prevent the recovery operation continues forever and we
cannot even shutdown pgpool main process. This could happen especially
while executing follow master command. At this moment, the timeout is
fixed value(5 seconds). This should be enough for the operation since
it does not imply any I/O or DB operation. Before it waited
forever. Problem is, it is possible that right after failover, the
failback request sent can be lost. In the long run we should fix it
but at this moment I prefer to band aid the problem because the fix
will not be trivial.

Add mention about "-D" option.

Prepare 3.1.7.

Prepare 3.1.7

Prepare 3.1.7.

Prepare 3.1.7.

Fix error message mistakes in detect_postmaster_down_error().

Fix pool_has_pgpool_regclass() to check execute privilege of pgpool_regclass().

Bug track #53 shows that if pgpool cannot execute pgpool_regclass(),
the connection to backend hangs. You can reproduce the problem by just
dropping the execute privilege from pgpool_regclass and do some insert
in native replication mode:

2013-04-07 11:47:54 LOG:   pid 11799: DB node id: 0 backend pid: 11918 statement: SELECT count(*) FROM pg_catalog.pg_proc AS p WHERE p.proname = 'pgpool_regclass'
2013-04-07 11:47:54 LOG:   pid 11799: DB node id: 0 backend pid: 11918 statement: SELECT count(*) FROM pg_catalog.pg_attrdef AS d, pg_catalog.pg_class AS c WHERE d.adrelid = c.oid AND d.adsrc ~ 'nextval' AND c.oid = pgpool_regclass('t1')
2013-04-07 11:47:54 ERROR: pid 11799: do_query: error message from backend: permission denied for function pgpool_regclass
2013-04-07 11:47:54 ERROR: pid 11799: pool_search_relcache: do_query failed
2013-04-07 11:47:54 LOG:   pid 11799: DB node id: 0 backend pid: 11918 statement: SELECT attname, d.adsrc, coalesce((d.ads

To fix the problem, use has_function_privilege() for the query and
passes username to pool_search_relcache() instead of
"pgpool_regclass"(this is just a fake parameter) as the search
key.

Merge branch 'V3_1_STABLE' of ssh://git.postgresql.org/pgpool2 into V3_1_STABLE

Adopt PostgreSQL 9.3. Patch contributed by Asif Rehman.
Slight editing by Tatsuo Ishii.

Fix to calculate replication delay only if standby server is
behind from the primay server.

When the primary server is behind from standby server, negative
value of delay is calculated and the value is assigned to unsigned
variable. It causes a log message informing negative replication
delay. And what is worse, it also causes SELECT queries to be sent
to the primary in load balance even though there are no replication
delay in fact.

The problem is reported and analyzed by Saitoh Hidenori in
[pgpoolgenera-jp: 1145]. (in Japanese)

Fix bug with md5 auth long user name handling.

If user name is longer than 32 bytes, md5 authentication doesn't work.
Problem reported in [pgpool-general: 1526] [pgPool-II 3.2.3] MD5
authentication and username longer than 32 characters.

Fix long standing bug with timestamp rewriting code for processing
extended protocol.

Parse() allocate memory using palloc() while rewriting the parse
message.  Problem is, the rewritten message was kept in the data which
is managed by pool_create_sent_message() etc. The function assumes
that all the data is in session context memory. However, palloc()
allocates memory in query context of course, and gets freeed later on
when the query context disappears. And the function tries to free the
memory as well, which causes various problems, including segfault and
double free. To fix this, memory to store rewritten message is
allocated using session context. The bug was there since pgpool-II 3.0
was born.

Problem analysis and patch contributed by Naoya Anzai.

Fix a compiler warning due to a wrong format specifier.

Remove unnecessary release note entry.

Fix version number in document.

Replace double quote to single quote.

Prepare 3.1.6.

Prepare 3.1.6

Update copyright year.

Add pool_passwd option to pgpool.conf.sample, pool_process_reporting.c,
and documents.

Modify documents to correct information of whether a certain parameter
change requires restart.

Fix long standing bug with pool_open(). It initializes wrong buffer
pointer. Actually this is harmless because the pointer is
initialized by prior memset() call, though.

Fix read_startup_packet() to reset alarm and free StartupPacket
when pool_read() returns 0 which means incorrect packet length.

Fix child_exit() to not call send_frontend_exits() if there's no
connection pool, otherwise it segfaults because send_frontend_exits()
referes to objects pointed to by pool_connection_pool.  This could
happen in worker_child while it tries to do s_do_auth() and it calls
pool_read() failed to read backend socket then calls child_exit().
Per bug track #44.

Fix pg_md5 to output "\n" after user inputs password.

Fix long standing bug "portal not found" error when replication delay
is too much in streaming replication mode.  The bug had been there
since the delay threshold was introduced.

We changed destination DB node if delay threshold exceeds in bind,
describe and execute. However, if parse sends to different node, bind,
describe or execute will fail because no parsed statement or portal
exists.  Solution is, not to send to different parse node even if
delay threshold is too much.

Fix pool_search_relcache() to use MASTER or MASTER_NODE_ID macro,
rather than REAL_MASTER_NODE_ID.  In case node 0 fail back in
streaming replication mode, pgpool does not restart child process.  So
REAL_MASTER_NODE_ID looks for node 0 con info, which is not present
until new connection to backend made. Thus referring to node con info
results in segfault. MASTER or MASTER_NODE_ID are safe in this
situation because they look at cached former master node id.

Fix reaper() not to exit wait3() loop when catches pcp or worker child
exit event. Otherwise reaper() mistakenly ignore some process exit
event and make a risk of creating zombie process and forgetting to
create new process.  Commit a99744560f54f6723799408cd3623a73b2b335e6
should be enough for pcp child case, but not enough for worker process
case. Problem reported and fix suggested by Goto in
[pgpool-general-jp: 1123].

Fix typo

Add a description about "-f" to help message.

Fix pool_send_severity_message() not to use uninitialized memory.
Reported in Bug#33's attached valgrind output:

==20875== Syscall param write(buf) points to uninitialised byte(s)
==20875==    at 0x52680D0: __write_nocancel (syscall-template.S:82)
==20875==    by 0x41CC49: pool_flush_it (pool_stream.c:436)
==20875==    by 0x41CCF8: pool_flush (pool_stream.c:496)
==20875==    by 0x417AE4: pool_send_severity_message (pool_process_query.c:1722)
==20875==    by 0x417C12: pool_send_error_message (pool_process_query.c:1608)
==20875==    by 0x4182A0: read_kind_from_backend (pool_process_query.c:3768)
==20875==    by 0x449098: ProcessBackendResponse (pool_proto_modules.c:2562)
==20875==    by 0x41B9C4: pool_process_query (pool_process_query.c:274)
==20875==    by 0x40B1DF: do_child (child.c:362)
==20875==    by 0x404BD4: fork_a_child (main.c:1243)
==20875==    by 0x40795B: main (main.c:661)
==20875==  Address 0x87cb243 is 275 bytes inside a block of size 8,192 alloc'd
==20875==    at 0x4C244E8: malloc (vg_replace_malloc.c:236)
==20875==    by 0x41CEF4: pool_open (pool_stream.c:68)
==20875==    by 0x40A7B2: do_accept (child.c:784)
==20875==    by 0x40AA2A: do_child (child.c:185)
==20875==    by 0x404BD4: fork_a_child (main.c:1243)
==20875==    by 0x40795B: main (main.c:661)

Fix hung up while repeating pcp_attach_node and pcp_detatch_node
reported in bug track #32 etc. When node status is changed by
pcp_attach_node and pcp_detatch_node, failover() sends SIGUSR1 to
pcp_child process expecting it exits to refresh node status. In this
situation lots of pgpool children exit and produce SIGCHLD as
well. The SIGCHLD handler reaper() tries catch all SIGCHLD but
sometimes it fails depending on the system load and timing. If SIGCHLD
produced by pcp child is not caught, the process becomes zombie and
never restarted.  The fix is, in failover() after sending SOGUSR1 to
pcp child, issue waitpid() to catch the pcp child exit event and
restart new pcp child process.

Fix race condition when using pool_get_passwd. The file descriptor to
pool_passwd is opened in pgpool main and pgpool child inherits
it. When concurrent connections try to authenticate md5 method, they
call pool_get_passwd and seek the fd and cause random md5 auth failure
because underlying fd is shared. Fix is, let individual pgpool child
open the file by calling pool_reopen_passwd_file.
Problem reported and analyzed by Jason Slagle in pgpool-general:1141.

Note that this patch requires commit d5930588747f1d0759411f494714a7909efe5e35
which allows to reload to recognize md5 password change.
I know this is not fix but the fix above requires this commit.