Nuevas versiones de actualización de seguridad de PostgreSQL

Noticia completa original: http://www.postgresql.org/about/news.1203

El proyecto PostgreSQL liberó el día de hoy  versiones menores para
actualizar todas las ramas
activas de sistema de bases de datos objeto-relacional PostgreSQL,
incluidas las versiones
8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25, y 7.4.29. Estas actualizaciones
corrigen problemas de
seguridad de riesgo medio relacionados a PL/perl y PL/tcl, asi como un
problema de corrupción de
datos en servidores standby. Usuarios de cualquiera de estas tres
características deberían actualizar
sus instalaciones de PostgreSQL inmediatamente.

El arreglo en PL/perl corrige un un agujero de seguridad en
procedimientos PL/perl que podían permitir
un escalado de privilegios en el sistema servidor, causado por una
falla en Safe.pm; vea las entradas
CVE-2010-1169 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1169)
y CVE-2010-1447
(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1447) para más
información. Una segunda
corrección previene que la tabla pltcl_modules del PL/tcl sea mal
utilizada para ejecutar scripts TCL de
forma arbitraria; vea la entrada CVE-2010-1170
(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1170).
Estos problemas solo afectan a usuarios que han habilitado alguno de
estos dos lenguajes procedurales.

También se corrigio el uso del comando ALTER TABLE SET TABLESPACE, el
cual previamente podía
causar corrupción de datos en bases de datos Warm Standby en
servidores de réplica. Este problema
solo afecta a la versión 8.4.

Los problemas corregidos también afectan a la versión 9.0 Beta 1, y
serán corregidos en la siguiente
versión 9.0 Beta 2.

También se corrigieron otras 21 fallas en estas versiones, algunas de
las cuales solo aplicán a la versión 8.4,
y algunas son específicas de Windows. Aunque estos son arreglos
generales para problemas menores,
entre los cambios están:

* Arreglo para una posible caída del servidor cuando se cumplen
condiciones específicas
* Se evita que usuarios normales puedan reiniciar algunas variables
GUC en sus propias definiciones de rol.
* Se permite aplicar correctamente los "constraint exclusion" en
consultas UPDATE y DELETE.
* Algunos arreglos menores en el archivado del WAL.
* Se actualizó los definiciones de 12 zonas horarias.

Vea las notas de versión para una lista completa de los cambios y sus detalles.

Al igual que con otras versiones menores, los usuarios no necesitan
sacar un respaldo y restaurar las
bases de datos para aplicar las actualizaciones; solo se necesita
parar PostgreSQL y actualizar los
binarios. Usuarios que se hayan saltado mas de una actualización
podrían necesitar chequear las
notas de versiones para pasos adicionales post-actualización.

   * Notas de versión
     http://www.postgresql.org/docs/current/static/release.html
   * Paquetes de instalación
     http://www.postgresql.org/ftp/binary/
   * Código fuente
     http://www.postgresql.org/ftp/source/
   * Instaladores para windows e instalador One-click
     http://www.enterprisedb.com/products/pgdownload.do
   * Detalles de problemas de seguridad
     http://www.postgresql.org/support/security

El Grupo Global de Desarrollo de PostgreSQL dejará de generar
actualizaciones de seguridad para las
versiones 7.4 y 8.0 despues de Junio del 2010. Se urge a los usuarios
de esas versiones empezar a
planear la actualización ahora.

--
Jaime Casanova         www.2ndQuadrant.com
Soporte y capacitación de PostgreSQL