Actualizaciones de Seguridad del 5 de octubre de 2010

El Grupo de Desarrollo Global de PostgreSQL ha liberado hoy versiones de
seguridad para todas las ramas activas del sistema de gestión de bases
de datos objeto-relacional PostgreSQL, el cual incluye las versiones
9.0.1, 8.4.5, 8.3.12, 8.2.18, 8.1.22, 8.0.26 y 7.4.30. Esta es la
actualización final para las ramas 7.4 y 8.0.

Esta actualización contiene una modificación de seguridad que impide una
escalada no autorizada de privilegios por la vía de modificar funciones
de lenguajes procedurales “confiables”, además de varias correcciones
menores relativas a la integridad de datos y gestión de errores.

Los usuarios de los lenguajes procedurales PL/Perl y PL/Tcl y funciones
SECURITY DEFINER deberían actualizar sus instalaciones en forma
inmediata. A todos los otros administradores se recomienda actualizar la
versión en el próximo período de mantención programada.

Las versiones 7.4.30 y 8.0.26 son las últimas para las líneas 7.4 y 8.0,
puesto que ambas ramas ya no están soportadas. La comunidad de
PostgreSQL dejará de liberar versiones para la rama 8.1 más adelante
este mismo año. Se recomienda a todos los usuarios actualizar a una rama
más nueva lo más pronto posible. Vea nuestra política de soporte (en
inglés):
http://wiki.postgresql.org/wiki/PostgreSQL_Release_Support_Policy

La vulnerabilida de seguridad permite que cualquier usuario corriente
SQL con privilegios de utilización de un lenguaje procedural confiable
(“trusted”) modifique el contenido de otras funciones en tiempo de
ejecución. Tal como se detalla en CVE-2010-3433, un usuario
autentificado puede lograr escalada de privilegios a través de
intervenir una función SECURITY DEFINER (o alguna otra operación
existente de cambio de privilegios). La sola presencia de lenguajes
procedurales no hace su aplicación vulnerable.

PL/Perl y PL/Tcl están parchados en esta versión; queda pendiente un
parche para PL/php. Todos los lenguajes procedurales de terceros con una
versión confiable son vulnerables al problema. Advisory CVE-2010-3433:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3433

Estas nuevas versiones incluyen numerosas actualizaciones a la
documentación y 130 correcciones de errores, las que incluyen:

* Impedir que show_session_authorization() provoque una caída en
autovacuum (todas las versiones)

* Corregir una gotera de conexiones después de errores por nombres
duplicados de conexión; corregir manejo de nombres de conexión más
largos de 62 bytes y mejorar el manejo de contrib/dblink de tablas que
contienen columnas eliminadas (todas las versiones)

* Defender contra funciones que retornan conjuntos de registros donde no
todos los registros tienen el mismo tipo de registro (8.0 hacia arriba)

* Corregir posibles recorridos duplicados de relaciones miembros de
UNION ALL (8.2 hacia arriba)

* Reducir PANIC a ERROR en fallos infrecuentes en btrees (8.2 hacia
arriba)

* Agregar la función hstore(text, text) a contrib/hstore, para ayudar la
emigración desde el operador =>, que fue depreciado en 9.0 (8.2 hacia
arriba)

* Tratar el código de salida 128 como no-fatal en Windos (8.2 hacia
arriba)

* Corregir la omisión de marca de planes en caché como transientes,
causando que índices con CREATE INDEX CONCURRENTLY no sean usados de
inmediato (8.3 hacia arriba)

* Corregir evaluación del lado interno de un outer join en un sub-select
con expresiones no estrictas en su lista de resultados (8.4 hacia
arriba)

* Permitir la verificación de certificados SSL completos en el caso
donde tanto host como hostaddr son especificados (8.4 hacia arriba)

* Mejorar la habilidad de la restauración en paralelo de tratar con
restauración selectiva (opción -L) (8.4 hacia arriba, con ciertas
condiciones)

* Corregir fallo de “ALTER TABLE t ADD COLUMN c SERIAL” cuando es
invocado por un usuario distinto del dueño (9.0 solamente)

* Varias correcciones en eliminación de joins (9.0 solamente)

Como con toda otra liberación de versiones menores, no se requiere un
volcado y restauración para aplicar esta actualización; puede
simplemente detener el servidor y actualizar los binarios. Los usuarios
que actualicen más de una versión pueden desear revisar las notas de
liberación por si hay pasos adicionales.

Descargue las versiones nuevas:

Página de descargas: http://www.postgresql.org/download
Código fuente: http://www.postgresql.org/ftp/source/
Paquetes binarios: http://www.postgresql.org/ftp/binary/
Instalador One-Click, incluyendo paquetes para Windows:
http://www.enterprisedb.com/products/pgdownload.do

Si desea una explicación más detallada de la vulnerabilidad, la
siguiente página tiene más detalles:
http://wiki.postgresql.org/wiki/20101005securityrelease

--
Álvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org>