FYI (traducción no oficial del anuncio de hoy en inglés) El Grupo de Desarrollo Global de PostgreSQL ha liberado una actualización de seguridad para todas las versiones actuales del sistema de bases de datos PostgreSQL, incluyendo versiones 9.2.4, 9.1.9, 9.0.13, y 8.4.17. Esta actualización corrige una vulnerabilidad de seguridad de alta exposición en la versión 9.0 y posteriores. Se recomienda aplicar la actualización "inmediatamente" a todos los usuarios de las versiones afectadas.
Un incidente mayor de seguridad ha sido corregido en esta liberación, CVE-2013-1899 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899), donde una solicitud de conexión conteniendo un nombre de base de datos que empiece con "-" maliciosamente armado podía dañar archivos dentro del directorio de datos del servidor. Cualquiera con acceso al puerto en el que escucha el servidor PostgreSQL podía iniciar esta solicitud. El incidente fue descubierto por Mitsumasa Kondo y Kyotaro Horiguchi del NTT Open Source Software Center. Dos incidentes menores también se incluyen en esta liberación: CVE-2013-1900 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900), donde los números aleatorios generados por las funciones de contrib/pgcrypto podrían fácilmente ser adivinados por otros usuarios; y CVE-2013-1901 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901), el cual incorrectamente permite a un usuario sin privilegios ejecutar órdenes que pudieran interferir con una copia de seguridad en progreso. Por último, esta liberación corrige dos incidentes de seguridad con el instalador gráfico para Linux y Mac OS X: "pasaje inseguro de contraseñas de superusuario a un script", CVE-2013-1903 ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1903) y "nombres de archivos predecibles en /tmp" CVE-2013-1902 ( http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1902). Marko Kreen, Noah Misch y Stefan Kaltenbrunner reportaron dichos incidentes, respectivamente. Les agradecemos a dichos desarrolladores los esfuerzos para hacer a PostgreSQL más seguro. También esta liberación corrige varios errores en el manejo de indices GiST indexes. Luego de instalar la actualización, es recomendable hacer un REINDEX sobre los índices GiST que cumplan con una o más de las condiciones descritas a continuación. Esta actualización también contiene correcciones para muchos otros temas menores, descubiertos y corregidos por la comunidad PostgreSQL en los últimos dos meses, incluyendo: * Corregir índices GiST a que no usen comparaciones geométricas "fuzzy" para columnas box, polygon, circle, y point * Corregir problemas en contrib/btree_gist para índices GiST en columnas text, bytea, bit, y numeric * Corregir problemas en el código de división de páginas para índices GIST multi-columna * Corregir filtración en buffer en WAL replay causando errores de "incorrect local pin count" * Asegurar recuperación ante caídas antes de entrar en la recuperación de archivamiento durante un cierre no limpio cuando recovery.conf está presente * Evitar eliminar archivos WAL no-archivados-aún durante una recuperación de caída * Corregir condición de carrera en DELETE RETURNING * Corregir caída posible del planificador luego de agregar columnas a una vista dependiente de otra vista * Eliminar las filtraciones de memoria en PL/Perl's spi_prepare() * Corregir pg_dumpall para manejar nombres de bases de datos que contengan "=" * Evitar caídas en pg_dump cuando una cadena de conección incorrecta es proporcinada * Ignorar índices inválidos en pg_dump and pg_upgrade * inculir solo el subdirectorio de la versión actual cuando se hace una copia de seguridad de un tablespace con pg_basebackup * Agregar un chequeo de versión en pg_basebackup y pg_receivexlog * Corregir contrib/dblink para manejar ajustes inconsistentes de DateStyle o IntervalStyle de manera segura * Corregir contrib/pg_trgm's similarity() para devolver 0 para ajustes trigram-less strings * Habilitar construir PostgreSQL con Microsoft Visual Studio 2012 * Actualizar los archivos de zonas horarias por cambios en leyes DST en Chile, Haiti, Marruecos, Paraguay, y algunas áreas en Rusia Como es habitual, la actualización solo requiere la instalación de los paquetes y un reinicio del sistema de base de datos. No es necesario hacer un volcado/restauración o usar pg_upgrade para esta actualización. Los usuarios que han evitado varias actualizaciones pueden requerir realizar pasos adicionales luego de la actualización. Ver las Release Notes para los detalels Enlaces: * Download: http://postgresql.org/download * Release Notes: http://www.postgresql.org/docs/current/static/release.html * Release FAQ: http://www.postgresql.org/support/security/faq/2013-04-04/ Mariano Reingart Contacto Regional de PostgreSQL para Argentina http://www.postgresql.org.ar/
