L’aggiornamento risolve due problemi di sicurezza che causavano rispettivamente un crash del sistema e una escalation delle autorizzazioni. Inoltre corregge altri bug emersi negli ultimi tre mesi. Si incoraggiano gli utenti a pianificare l’aggiornamento dei server alla prima occasione possibile.

Aggiornamenti di sicurezza

Questo aggiornamento risolve due falle di sicurezza:

• CVE-2016-5423: certain nested CASE expressions can cause the server to crash.
• CVE-2016-5424: database and role names with embedded special characters can cause triggering code during administrative operations like pg_dumpall.

Il fix del secondo problema aggiunge anche una opzione, --reuse-previous, al comando \connect di psql. Dopo l’aggiornamento, pg_dumpall si rifiuterà di gestire nomi di ruolo e database contenenti un ritorno a capo. Per maggiori informazioni sui bug e sul loro impatto in termini di retro-compabilità, si faccia riferimento alle note di rilascio.

Altre correzioni e miglioramenti

Questo aggiornamento corregge anche un numero di bug emersi e riportati nei mesi precedenti. Alcuni di questi riguardano esclusivamente la 9.5, ma altri si riferiscono a tutte le versioni supportate. La lista di correzioni, in inglese, è la seguente:

• Fix misbehaviors of IS NULL/IS NOT NULL with composite values
• Fix three areas where INSERT … ON CONFLICT failed to work properly with other SQL features.
• Make INET and CIDR data types properly reject bad IPv6 values
• Prevent crash in close_ps() for NaN input coordinates
• Avoid possible crash in pg_get_expr()
• Fix several one-byte buffer over-reads in to_number()
• Don’t pre-plan query if WITH NO DATA is specified
• Avoid crash-unsafe state with expensive heap_update() paths
• Fix hint bit update during WAL replay of row locking operations
• Avoid unnecessary “could not serialize access” with FOR KEY SHARE
• Avoid crash in postgres -C when the specified variable is a null string
• Fix two issues with logical decoding and subtransactions
• Ensure that backends see up-to-date statistics for shared catalogs
• Avoid consuming a transaction ID during VACUUM
• Prevent possible failure when vacuuming multixact IDs in an upgraded database
• When a manual ANALYZE specifies colums, don’t reset changes_since_analyze
• Fix ANALYZE’s overestimation of n_distinct for nulls
• Fix bug in b-tree mark/restore processing
• Fix building of large (bigger than shared_buffers) hash indexes
• Prevent infinite loop in GiST index build with NaN values
• Fix possible crash during a nearest-neighbor indexscan
• Fix “PANIC: failed to add BRIN tuple” error
• Prevent possible crash during background worker shutdown
• Many fixes for issues in parallel pg_dump and pg_restore
• Make pg_basebackup accept -Z 0 as no compression
• Make regression tests safe for Danish and Welsh locales

La libreria client libpq è stata aggiornata per supportare il nuovo formato di versioning di PostgreSQL che sarà composto soltanto da due parti e non più tre come ora (e.g.: 10.0 invece di 9.5.4). Questo aggiornamento contiene anche la release 2016f di tzdata, con aggiornamenti per Kemerovo, Novosibirsk, Azerbaijan, Bielorussia e Marocco.

Uscita dal supporto comunitario per la versione 9.1

La versione 9.1 uscirà dal supporto comunitario a settembre 2016 (EOL, End-of-Life). Di conseguenza, questo aggiornamento sarà probabilmente l’ultimo per questa versione. Gli utenti di PostgreSQL 9.1 dovrebbero iniziare a pianificare un aggiornamento a una versione più recente prima di tale data. Si vedano le policy di versioning per maggiori informazioni sulle date di fine supporto comunitario delle varie versioni di PostgreSQL.

Istruzioni di aggiornamento

Come ogni aggiornamento di minor release, non è necessario eseguire alcun dump e restore dei database e neppure utilizzare pg_upgrade per effettuare questi ultimi aggiornamenti; è sufficiente spegnere il servizio PostgreSQL ed aggiornare i binari. Gli utenti che hanno saltato aggiornamenti precedenti, potrebbero necessitare di ulteriori operazioni da eseguire dopo l’aggiornamento; si vedano le varie note di rilascio per maggiori dettagli.

Link utili

• Download
• Release Notes
• Security Page
• Versioning Policy

Fix per corruzione dati

Per gli utenti delle versioni 9.3 e 9.4 di PostgreSQL, l’aggiornamento corregge i problemi derivanti dal “multixact wraparound”, che comporta la possibile corruzione dei dati o la loro perdita. I database con una frequenza di transazioni molto alta (1 milione/ora) contenenti molte chiavi esterne sono particolarmente vulnerabili. Sollecitiamo vivamente tutti coloro che fanno uso delle versioni 9.4 e 9.3 ad aggiornare le loro installazioni nei prossimi giorni.

Le versioni 9.2 o precedenti non sono affette da questo problema.

Aggiornamenti di sicurezza

Questo aggiornamento risolve due falle di sicurezza riscontrate in PostgreSQL nei mesi passati. Nessuna di queste è particolarmente urgente. Ad ogni modo, gli utenti dovrebbero prenderle in considerazione nel caso le loro installazioni sono articolarmente vulnerabili:

• CVE-2015-3165 Double “free” after authentication timeout.
• CVE-2015-3166 Unanticipated errors from the standard library.
• CVE-2015-3167 pgcrypto has multiple error messages for decryption with an incorrect key.

In aggiunta, raccomandiamo a tutti gli utenti che fanno uso delle autenticazioni Kerberos, GSSAPI, o SSPI di impostare il parametro include_realm ad 1 nel pg_hba.conf, che sarà il valore di default a partire dalle versioni future. Maggiori informazioni sui problemi finora riscontrati sono disponibili nella PostgreSQL Security Page.

Altre correzioni e miglioramenti

Una nuova versione dell’estensione citext corregge un problema dato dalle precedenti (e non documentate) funzioni regexp_matches() con cui era implementata. Adesso viene ritornato un tipo diverso di dato rispetto alla precedente versione, quindi gli utenti che fanno uso di CIText dovrebbero testare le loro applicazioni prima di aggiornare l’estensione tramite il comando “ALTER EXTENSION citext UPDATE”.

Inoltre, più di 50 problematiche segnalate sono state corrette in aggiunta agli altri aggiornamenti rilasciati. Molte di queste incidono su tutte le versioni attualmente supportate. Le correzioni includono:

• Restituzione di date e timestamp infiniti come infinito nella conversione in json
• Correzione delle funzioni populate_record() e to_record() dei dati json/jsonb
• Correzione dei check finali degli exclusion constraint posticipati
• Migliore strategia del planner con query di tipo star-schema
• Correzione tre problemi emersi con le join
• Garanzia di corretto funzionamento dei lock con le security barrier delle viste
• Correzione dei problemi di deadlock in fase di startup quando max_prepared_transactions è troppo piccolo
• Esecuzione ricorsiva di fsync() della data directory dopo un crash
• Correzione dei possibili fallimenti del launcher degli autovacuum
• Migliore gestione di segnali non aspettati all’interno della funzione LockBufferForCleanup()
• Correzione di crash causati dall’esecuzione di COPY IN su tabelle aventi check constraint
• Rimozione di attese nella replica sincrona durante transazioni read-only
• Correzione di due problemi con indici hash
• Prevenzione di memory leak durante l’esecuzione del vacuum di indici GIN
• Correzione di due problemi relativi ai backgroud worker
• Correzioni alla replica basata su decodifica logica
• Correzione di alcuni problemi minori di pg_dump e pg_upgrade

Questo rilascio include un aggiornamento a tzdata versione 2015d, con aggiornamenti per Egitto, Mongolia e Palestina, più modifiche storiche per Canada e Cile.

Uscita dal supporto comunitario per la versione 9.0

La versione 9.0 uscirà dal supporto comunitario a settembre 2015. Questo significa che questi aggiornamenti saranno probabilmente gli ultimi per questa versione. Gli utenti di PostgreSQL 9.0 dovrebbero iniziare a pianificare un aggiornamento a una versione più recente prima di tale data. Si veda il link http://www.postgresql.org/support/versioning/ per maggiori informazioni sulle date di fine supporto comunitario per le varie versioni di PostgreSQL.

Istruzioni di aggiornamento

Come ogni aggiornamento di minor release, non è necessario eseguire alcun dump e restore dei database e neppure utilizzare pg_upgrade per effettuare questi ultimi aggiornamenti; è sufficiente spegnere il servizio PostgreSQL ed aggiornare i binari. Gli utenti dell’estensione CIText necessitano soltanto di eseguire un comando. Gli utenti che hanno saltato aggiornamenti precedenti, potrebbero necessitare di ulteriori operazioni da eseguire dopo l’aggiornamento; si vedano le varie note di rilascio per maggiori dettagli.

Link

• http://www.postgresql.org/download
• http://www.postgresql.org/docs/current/static/release.html
• http://www.postgresql.org/support/security/

Last updated 2015-05-22 14:28:50 CEST