Rilasciati nuovi aggiornamenti di sicurezza di PostgreSQL

Il PostgreSQL Global Development Group ha rilasciato un aggiornamento di sicurezza di tutte le versioni attuali del database PostgreSQL, con le versioni 9.2.3, 9.1.8, 9.0.12, 8.4.16 e 8.3.23.

Questo aggiornamento corregge una vulnerabilità di tipo denial-of-service (DOS). Gli utenti dovrebbero aggiornare nella prossima finestra di manutenzione.

Il problema di sicurezza corretto da questo rilascio, CVE-2013-0255, consente ad un utente precedentemente autenticato di determinare un crash del server invocando una funzione interna con argomenti invalidi. Questo problema è stato individuato dal ricercatore Sumit Soni questa settimana e divulgato attraverso Secunia SVCRP. Siamo molto grati per i loro sforzi, volti a rendere PostgreSQL sempre più sicuro.

L’aggiornamento di oggi risolve una regressione nelle prestazioni che ha causato una riduzione nel throughput con l’utilizzo di query dinamiche all’interno di stored procedure nella versione 9.2.

Le applicazioni che usano il comando EXECUTE di PL/pgSQL sono colpite fortemente da questa regressione e dovrebbero essere aggiornate. Sono stati anche risolti crash intermittenti causati da CREATE/DROP INDEX CONCURRENTLY e molteplici problemi minori sulla replica.

Questo rilascio rappresenta l’ultimo aggiornamento per la versione 8.3, che da adesso in poi risulta essere dismessa (End-Of-Life, EOL). Gli utenti della versione 8.3 dovrebbero pianificare immediatamente l’aggiornamento a una versione più recente di PostgreSQL. Per maggiori informazioni, si consultino le politiche di controllo delle versioni di PostgreSQL ( http://www.postgresql.org/support/versioning/ ).

Il rilascio odierno contiene inoltre correzioni per molti problemi minori scoperti e risolti con una patch dalla comunità PostgreSQL negli ultimi due mesi. Per maggiori informazioni, si vedano i dettagli, in lingua inglese, in calce a questo annuncio.

Come per tutte le altre release minori, gli utenti non devono effettuare il dump e il restore del database, né tantomeno utilizzare pg_upgrade: è sufficiente spegnere PostgreSQL e aggiornarne i file binari. Tuttavia, gli utenti che hanno omesso uno o più aggiornamenti potrebbero dover svolgere ulteriori azioni; per maggiori dettagli si vedano le note di rilascio.

Riferimenti:

• Download: http://postgresql.org/download
• Note di rilascio: http://www.postgresql.org/docs/current/static/release.html

Elenco dettagliato delle correzioni (in lingua inglese):

• Prevent unnecessary table scans during vacuuming
• Prevent spurious cached plan error in PL/pgSQL
• Allow sub-SELECTs to be subscripted
• Prevent DROP OWNED from dropping databases or tablespaces
• Make ECPG use translated messages
• Allow PL/Python to use multi-table trigger functions (again) in 9.1 and 9.2
• Fix several activity log management issues on Windows
• Prevent autovacuum file truncation from being cancelled by deadlock_timeout
• Make extensions build with the .exe suffix automatically on Windows
• Fix concurrency issues with CREATE/DROP DATABASE
• Reject out-of-range values in to_date() conversion function
• Revert cost estimation for large indexes back to pre-9.2 behavior
• Make pg_basebackup tolerate timeline switches
• Cleanup leftover temp table entries during crash recovery
• Prevent infinite loop when COPY inserts a large tuple into a table with a large fillfactor
• Prevent integer overflow in dynahash creation
• Make pg_upgrade work with INVALID indexes
• Fix bugs in TYPE privileges
• Allow Contrib installchecks to run in their own databases
• Many documentation updates
• Add new timezone “FET”