El Grupo de Desarrollo Global de PostgreSQL ha liberado hoy versiones de seguridad para todas las ramas activas del sistema de gestión de bases de datos objeto-relacional PostgreSQL, el cual incluye las versiones 9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 y 7.4.30. Esta es la actualización final para las ramas 7.4 y 8.0.
Esta actualización contiene una modificación de seguridad que impide una escalada no autorizada de privilegios por la vía de modificar funciones de lenguajes procedurales “confiables”, además de varias correcciones menores relativas a la integridad de datos y gestión de errores. Los usuarios de los lenguajes procedurales PL/Perl y PL/Tcl y funciones SECURITY DEFINER deberían actualizar sus instalaciones en forma inmediata. A todos los otros administradores se recomienda actualizar la versión en el próximo período de mantención programada. Las versiones 7.4.30 y 8.0.26 son las últimas para las líneas 7.4 y 8.0, puesto que ambas ramas ya no están soportadas. La comunidad de PostgreSQL dejará de liberar versiones para la rama 8.1 más adelante este mismo año. Se recomienda a todos los usuarios actualizar a una rama más nueva lo más pronto posible. Vea nuestra política de soporte (en inglés): http://wiki.postgresql.org/wiki/PostgreSQL_Release_Support_Policy La vulnerabilida de seguridad permite que cualquier usuario corriente SQL con privilegios de utilización de un lenguaje procedural confiable (“trusted”) modifique el contenido de otras funciones en tiempo de ejecución. Tal como se detalla en CVE-2010-3433, un usuario autentificado puede lograr escalada de privilegios a través de intervenir una función SECURITY DEFINER (o alguna otra operación existente de cambio de privilegios). La sola presencia de lenguajes procedurales no hace su aplicación vulnerable. PL/Perl y PL/Tcl están parchados en esta versión; queda pendiente un parche para PL/php. Todos los lenguajes procedurales de terceros con una versión confiable son vulnerables al problema. Advisory CVE-2010-3433: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3433 Estas nuevas versiones incluyen numerosas actualizaciones a la documentación y 130 correcciones de errores, las que incluyen: * Impedir que show_session_authorization() provoque una caída en autovacuum (todas las versiones) * Corregir una gotera de conexiones después de errores por nombres duplicados de conexión; corregir manejo de nombres de conexión más largos de 62 bytes y mejorar el manejo de contrib/dblink de tablas que contienen columnas eliminadas (todas las versiones) * Defender contra funciones que retornan conjuntos de registros donde no todos los registros tienen el mismo tipo de registro (8.0 hacia arriba) * Corregir posibles recorridos duplicados de relaciones miembros de UNION ALL (8.2 hacia arriba) * Reducir PANIC a ERROR en fallos infrecuentes en btrees (8.2 hacia arriba) * Agregar la función hstore(text, text) a contrib/hstore, para ayudar la emigración desde el operador =>, que fue depreciado en 9.0 (8.2 hacia arriba) * Tratar el código de salida 128 como no-fatal en Windos (8.2 hacia arriba) * Corregir la omisión de marca de planes en caché como transientes, causando que índices con CREATE INDEX CONCURRENTLY no sean usados de inmediato (8.3 hacia arriba) * Corregir evaluación del lado interno de un outer join en un sub-select con expresiones no estrictas en su lista de resultados (8.4 hacia arriba) * Permitir la verificación de certificados SSL completos en el caso donde tanto host como hostaddr son especificados (8.4 hacia arriba) * Mejorar la habilidad de la restauración en paralelo de tratar con restauración selectiva (opción -L) (8.4 hacia arriba, con ciertas condiciones) * Corregir fallo de “ALTER TABLE t ADD COLUMN c SERIAL” cuando es invocado por un usuario distinto del dueño (9.0 solamente) * Varias correcciones en eliminación de joins (9.0 solamente) Como con toda otra liberación de versiones menores, no se requiere un volcado y restauración para aplicar esta actualización; puede simplemente detener el servidor y actualizar los binarios. Los usuarios que actualicen más de una versión pueden desear revisar las notas de liberación por si hay pasos adicionales. Descargue las versiones nuevas: Página de descargas: http://www.postgresql.org/download Código fuente: http://www.postgresql.org/ftp/source/ Paquetes binarios: http://www.postgresql.org/ftp/binary/ Instalador One-Click, incluyendo paquetes para Windows: http://www.enterprisedb.com/products/pgdownload.do Si desea una explicación más detallada de la vulnerabilidad, la siguiente página tiene más detalles: http://wiki.postgresql.org/wiki/20101005securityrelease -- Álvaro Herrera <[email protected]> - Enviado a la lista de correo pgsql-es-ayuda ([email protected]) Para cambiar tu suscripci�n: http://www.postgresql.org/mailpref/pgsql-es-ayuda
