[ANUNCIO] PostgreSQL 9.2.4, 9.1.9, 9.0.13 y 8.4.17 liberados

FYI (traducción no oficial del anuncio de hoy en inglés)

El Grupo de Desarrollo Global de PostgreSQL ha liberado una actualización
de seguridad para todas las versiones actuales del sistema de bases de
datos PostgreSQL, incluyendo versiones 9.2.4, 9.1.9, 9.0.13, y 8.4.17.
Esta actualización corrige una vulnerabilidad de seguridad de alta
exposición en la versión 9.0 y posteriores.
Se recomienda aplicar la actualización "inmediatamente" a todos los
usuarios de las versiones afectadas.

Un incidente mayor de seguridad ha sido corregido en esta liberación,
CVE-2013-1899 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1899),
donde una solicitud de conexión conteniendo un nombre de base de datos que
empiece con "-" maliciosamente armado podía dañar archivos dentro del
directorio de datos del servidor.
Cualquiera con acceso al puerto en el que escucha el servidor PostgreSQL
podía iniciar esta solicitud.
El incidente fue descubierto por Mitsumasa Kondo y Kyotaro Horiguchi del
NTT Open Source Software Center.

Dos incidentes menores también se incluyen en esta liberación:
CVE-2013-1900 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1900),
donde los números aleatorios generados por las funciones
de contrib/pgcrypto podrían fácilmente ser adivinados por otros usuarios; y
CVE-2013-1901 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1901),
el cual incorrectamente permite a un usuario sin privilegios ejecutar
órdenes que pudieran interferir con una copia de seguridad en progreso.
Por último, esta liberación corrige dos incidentes de seguridad con el
instalador gráfico para Linux y Mac OS X: "pasaje inseguro de contraseñas
de superusuario a un script", CVE-2013-1903 (
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1903) y "nombres de
archivos predecibles en /tmp" CVE-2013-1902 (
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1902).
Marko Kreen, Noah Misch y Stefan Kaltenbrunner reportaron dichos
incidentes, respectivamente.

Les agradecemos a dichos desarrolladores los esfuerzos para hacer a
PostgreSQL más seguro.

También esta liberación corrige varios errores en el manejo de indices GiST
indexes. Luego de instalar la actualización, es recomendable hacer un
REINDEX sobre los índices GiST que cumplan con una o más de las
condiciones descritas a continuación.

Esta actualización también contiene correcciones para muchos otros temas
menores, descubiertos y corregidos por la comunidad PostgreSQL en los
últimos dos meses, incluyendo:

* Corregir índices GiST a que no usen comparaciones geométricas "fuzzy"
para columnas box, polygon, circle, y point
* Corregir problemas en contrib/btree_gist para índices GiST en columnas
text, bytea, bit, y numeric
* Corregir problemas en el código de división de páginas para índices GIST
multi-columna
* Corregir filtración en buffer en WAL replay causando errores de
"incorrect local pin count"
* Asegurar recuperación ante caídas antes de entrar en la recuperación de
archivamiento durante un cierre no limpio cuando recovery.conf está presente
* Evitar eliminar archivos WAL no-archivados-aún durante una recuperación
de caída
* Corregir condición de carrera en DELETE RETURNING
* Corregir caída posible del planificador luego de agregar columnas a una
vista dependiente de otra vista
* Eliminar las filtraciones de memoria en PL/Perl's spi_prepare()
* Corregir pg_dumpall para manejar nombres de bases de datos que contengan
"="
* Evitar caídas en pg_dump cuando una cadena de conección incorrecta es
proporcinada
* Ignorar índices inválidos en pg_dump and pg_upgrade
* inculir solo el subdirectorio de la versión actual cuando se hace una
copia de seguridad de un tablespace con pg_basebackup
* Agregar un chequeo de versión en pg_basebackup y pg_receivexlog
* Corregir contrib/dblink para manejar ajustes inconsistentes de DateStyle
o IntervalStyle de manera segura
* Corregir contrib/pg_trgm's similarity() para devolver 0 para ajustes
trigram-less strings
* Habilitar construir PostgreSQL con Microsoft Visual Studio 2012
* Actualizar los archivos de zonas horarias por cambios en leyes DST en
Chile, Haiti, Marruecos, Paraguay, y algunas áreas en Rusia

Como es habitual, la actualización solo requiere la instalación de los
paquetes y un reinicio del sistema de base de datos.
No es necesario hacer un volcado/restauración o usar pg_upgrade para esta
actualización.
Los usuarios que han evitado varias actualizaciones pueden requerir
realizar pasos adicionales luego de la actualización.
Ver las Release Notes para los detalels

Enlaces:

* Download: http://postgresql.org/download
* Release Notes: http://www.postgresql.org/docs/current/static/release.html
* Release FAQ: http://www.postgresql.org/support/security/faq/2013-04-04/

Mariano Reingart
Contacto Regional de PostgreSQL para Argentina
http://www.postgresql.org.ar/