El grupo de desarrollo de PostgreSQL ha anunciado recientemente el lanzamiento de una actualización de todas las versiones compatibles de su sistema de base de datos, incluyendo 11.3, 10.8, 9.6.13, 9.5.17 y 9.4.22.
Esta versión de corrección llega a solucionar principalmente dos problemas de seguridad en el servidor PostgreSQL, un problema de seguridad encontrado en dos de los instaladores de Windows de PostgreSQL y más de 60 errores informados en los últimos tres meses.
Problemas de seguridad resueltos
Cuatro vulnerabilidades de seguridad han sido corregidas por esta versión, de las cuales dos eran de suma importancia solucionar, las cuales son las siguientes:
CVE-2019-10127: BigSQL Windows Installer no elimina las entradas de lista de control de acceso permisivas
CVE-2019-10128: la configuración de Windows EnterpriseDB no elimina las entradas de ACL permisivas
Debido a que los instaladores Windows EnterpriseDB y BigSQL no bloquearon el directorio de instalación binario de PostgreSQL y los permisos del directorio de datos, una cuenta de usuario de Windows sin privilegios y una cuenta de PostgreSQL sin privilegios pueden causar la ejecución de código arbitrario por la cuenta de servicio PostgreSQL.
Esta vulnerabilidad está presente en todas las versiones compatibles de PostgreSQL para estos instaladores y puede existir en versiones anteriores. Es por ello que los desarrolladores hacen un llamado a realizar la actualización:
“Los usuarios que hayan instalado PostgreSQL utilizando EnterpriseDB y BigSQL Windows Installer deben actualizarse lo antes posible. Del mismo modo, los usuarios que ejecutan cualquier versión de PostgreSQL 9.5, 9.6, 10 y 11 también deben planificar la actualización lo antes posible “.
CVE-2019-10129: Divulgación de memoria en el enrutamiento de partición
Antes de esta versión, un usuario que ejecutaba PostgreSQL 11 podía leer bytes arbitrarios de la memoria del servidor ejecutando una instrucción INSERT especialmente diseñada en una tabla particionada.
CVE-2019-10130: los estimadores de selectividad omiten las políticas de seguridad de línea
PostgreSQL mantiene las estadísticas de las tablas mediante el muestreo de los datos disponibles en columnas.
Se accede a estos datos durante el proceso de planificación de la consulta. Antes de esta versión, un usuario capaz de ejecutar consultas SQL con permisos de lectura en una columna determinada podría crear un operador con fugas que pudiera leer todos los datos mostrados en esa columna.
Corrección de errores y mejoras
Esta actualización también corrige más de 60 errores informados en los últimos meses. Algunos de estos problemas solo se aplican a la versión 11, pero muchos se relacionan con todas las versiones anteriores compatibles.
Algunas de estas correcciones incluyen:
- Varias correcciones de daños en el catálogo, incluida la relacionada con la ejecución de ALTER TABLE en una tabla particionada
- Varias correcciones para la partición.
- Se corrigieron posibles fallas “no se puede acceder al estado de la transacción” en txid_status ()
- Se arregló CREATE VIEW para permitir vistas no separadas
- Se corrigió la incompatibilidad de los registros WAL de índice GIN introducidos en 11.2, 10.7, 9.6.12, 9.5.16 y 9.4.21 que afectaban a los servidores de réplica que ejecutaban estas versiones al leer los cambios en los índices GIN de los servidores. versiones antiguas
- Varias correcciones relacionadas con las fugas de memoria y la gestión dinámica de la memoria compartida.
- Varias correcciones al planificador de consultas, muchas de las cuales deberían conducir a una mejor planificación.
- Se corrigió un problema crítico en la carrera en el que un administrador de autoconsumo no podía detenerse después de recibir una solicitud de Smart Stop
Respecto a las actualizaciones
El proyecto recuerda que todas las versiones de actualización de PostgreSQL son acumulativas. Al igual que con otras versiones menores, los usuarios no tienen que volcar y volver a cargar su base de datos o usar pg_upgrade para aplicar esta actualización, simplemente basta con detener PostgreSQL y actualizar los binarios.
Es posible que los usuarios que omitieron una o más versiones de actualización deban realizar pasos adicionales después de la actualización. Si se encuentra en esta categoría, debe consultar las notas de la versión de versiones anteriores para obtener más detalles.
Finalmente el equipo de desarrollo nos recuerda que PostgreSQL 9.4 ya no recibirá parches a partir del 13 de febrero de 2020.
Fuente: ubunlog
