Fix CVE-2020-14350

[kulaginm]

No description provided.

[danolivo]

Мне вот что непонятно в твоем патче.

1. Раньше мы всегда делали набор скриптов инициализации aqo - как набор скриптов обновления: 1.0--1.1--1.2. Ты сейчас сделал отдельный скрипт для 1.2. Какая здесь логика?
2. Я пока не смотрел изменения в 1.2. Однако твой патч не привносит изменений в скрипты обновления, если пользователь идет путем от 1.0 до 1.2. Почему?

[kulaginm]

1. Моя логика в этом месте была следующая:
   а) Установка отдельным скриптом более "чистая": не требует создания с последующим сразу после него удаления индексов, не требует создания одноразовых функций "обновления". Да и программисту имхо проще видеть сразу актуальную версию объектов расширения (правда придётся теперь поддерживать несколько возможных путей установки).
   б) Сборка скрипта установки через конкатенацию -- это довольно странных на мой взгляд путь, потому что если уж хочется оставить возможность одновременной установки версий 1.0 1.1 и 1.2, то необязательно вообще собирать скрипт установки 1.2 (PG>=10 умеет сам делать установку последней версии через скрипты обновления https://postgrespro.ru/docs/postgresql/10/extend-extensions#id-1.8.3.18.15). В этом случае действительно нужно было бы патчить скрипты обновления.
2. Потому что задача стояла "установочные скрипты расширений должны быть защищены от атак во время установки.". Когда обговаривали с Александром Лахиным эту уязвимость, я понял, что задача защиты обновлений -- это какая-то отдельная задача и в рамках этой активности не предполагалось это делать (пишу по памяти, если нужно, то можем уточнить у него).

В любом случае, если хочется, то можно поправить и скрипты обновления (это совсем не сложно), но не очень понятно как это потом тестировать. Но, я так понимаю, что ни в одной установке 12-й не было установлено расширение 1.0, поэтому не очень понятно зачем бороться за эти обновления.
Поэтому предлагаю выкинуть aqo--1.0.sql вообще, а поддерживать именно актуальную aqo--1.2.sql.