O PostgreSQL Global Development Group lançou uma atualização para todas as versões com suporte de nosso sistema de banco de dados, incluindo 13.2, 12.6, 11.11, 10.16, 9.6.21 e 9.5.25. Esta versão encerra duas vulnerabilidades de segurança e corrige mais de 80 bugs comunicado nos últimos três meses.

Além disso, esta é a versão final do PostgreSQL 9.5. Se você estiver executando o PostgreSQL 9.5 em um ambiente de produção, sugerimos que faça planos para atualizar.

  Problemas de segurança

• CVE-2021-3393: Erros de violação de constraint de partição vazam valores de colunas sem permissão.

Versões afetadas: 11 – 13.

Um usuário com privilégio UPDATE em uma tabela particionada, mas sem o privilégio SELECT em alguma coluna, pode obter valores desta coluna através da mensagem de erro. Isso é semelhante a CVE-2014-8161, mas as condições para explorar são mais raras.

O projeto PostgreSQL agradece Heikki Linnakangas por relatar este problema. 

• CVE-2021-20229: Privilégio SELECT em uma única coluna permite ler todas as colunas, Versões afetadas: 13.

Um usuário com privilégio SELECT em uma única coluna pode criar uma consulta especial que retorna todas as colunas da tabela.

Além disso, uma view materializada, que usa privilégios em nível de coluna, terá bitmaps de uso de coluna incompletos. Em instalações que dependem de permissões em nível de coluna para segurança, é recomendado executar CREATE OR REPLACE em todas as views, definidas pelo usuário, para forçá-las a serem analisadas novamente.

O projeto PostgreSQL agradece a Sven Klemm por relatar este problema.

Correções de bugs e melhorias

Esta atualização corrige mais de 80 bugs relatados nos últimos meses. Alguns desses problemas afetam apenas a versão 13, mas também podem se aplicar a outras versões com suporte.

Algumas dessas correções incluem:

• Correção de um problema com índices GiST em que inserções simultâneas podem levar a um índice corrompido com entradas alocadas nas páginas erradas. Você deve REINDEXAR quaisquer índices GiST afetados.

• Correção CREATE INDEX CONCURRENTLY para garantir que as linhas de transações preparadas simultâneas sejam incluídas no índice. As instalações que ativaram transações preparadas devem REINDEXAR quaisquer índices construídos simultaneamente.

• Correção para possíveis resultados de consulta incorretos quando uma agregação de hash é enviada para disco.

• Correção de caso extremo na ordenação incremental que pode levar a resultados de ordenação incorreto ou a um erro “retrieved too many tuples in a bounded sort “.

• Correção para impedir o crash quando uma instrução CALL ou DO, que faz um rollback da transação, executa por meio do protocolo de consulta estendida, como a partir de instruções preparadas.

• Correção de uma falha quando uma procedure PL/pgSQL usa CALL em outra procedure que possui parâmetros OUT que executam um COMMIT ou ROLLBACK.

• Remove os erros das triggers BEFORE UPDATE em tabelas particionadas para restrições que não se aplicam mais.

• Várias correções para consultas com joins que podem levar a mensagens de erro como “no relation entry for relid N” ou “failed to build any N-way joins”.

• Não considerar funções com parallel-restricted ou set-returning em expressões ORDER BY ao tentar paralelizar as ordenações.

• Correção ALTER DEFAULT PRIVILEGES para lidar com argumentos duplicados com segurança.

• Várias correções no comportamento quando wal_level é definido como mínimo, incluindo quando as tabelas são reescritas dentro de uma transação.

• Várias correções para CREATE TABLE LIKE.

• Certifica-se de que o espaço em disco alocado para um objeto excluído (por exemplo, uma tabela) seja liberado imediatamente quando a transação for comitada.

• Correção no relatório de progresso do comando CLUSTER.

• Correção do tratamento de caracteres multibyte com escape de barra invertida em COPY FROM.

• Correção de condições de corrida introduzidas recentemente no tratamento da fila LISTEN/NOTIFY.

• Permite que o operador de concatenação jsonb (||) trate todas as combinações de tipos de dados JSON.

• Correção na lógica de leitura do WAL para que os standby`s possam lidar com as mudanças da linha do tempo corretamente. Esse problema pode ter aparecido com erros como “requested WAL segment has already been removed”.

• Várias correções de vazamento para o processo walsender em torno da decodificação e replicação lógicas.

• Certifica-se de que um valor não vazio de krb_server_keyfile sempre substitui qualquer configuração de KRB5_KTNAME no ambiente do servidor

• Várias correções para suporte de criptografia GSS.

• Certifica-se de que o comando connect permite o uso de uma senha no argumento da connection_string.

• Correção de vários bugs com o comando help.

• Várias correções para pg_dump.

• Certifica-se de que pg_rewind seja responsável por todos os WAL ao retroceder um servidor standby.

• Correção de vazamento de memória em contrib/auto_explain.

• Certifica-se de que todas as conexões postgres_fdw sejam fechadas se um mapeamento de usuário ou objeto de servidor externo, do qual essas conexões dependem, for eliminado.

• Correção da compilação JIT para ser compatível com LLVM 11 e LLVM 12. 

Esta atualização também contém tzdata release 2021 para mudanças na lei do DST na Rússia (zona de Volgogrado) e no Sudão do Sul, além de correções históricas para Austrália, Bahamas, Belize, Bermuda, Gana, Israel, Quênia, Nigéria, Palestina, Seychelles e Vanuatu. Notavelmente, a zona Austrália/Currie foi corrigida a ponto de ser idêntica à Austrália/Hobart. 

PostgreSQL 9.5 é EOL 

Esta é a versão final do PostgreSQL 9.5. Se você estiver executando o PostgreSQL 9.5 em um ambiente de produção, sugerimos que faça planos para atualizar para uma versão mais recente e compatível do PostgreSQL.

 Consulte em: https://www.postgresql.org/support/versioning/

Atualizando

Todas as versões de atualização do PostgreSQL são cumulativas. Tal como acontece com outras versões menores, os usuários não são obrigados a despejar e recarregar seu banco de dados ou usar o pg_upgrade para aplicar esta versão de atualização; você pode simplesmente desligar o PostgreSQL e atualizar seus binários.

Os usuários que pularam uma ou mais versões de atualização podem precisar executar etapas adicionais de pós-atualização; 

Consulte as notas de lançamento para versões anteriores para obter detalhes.

Para obter mais detalhes, consulte as notas de lançamento.

Fonte:

https://www.postgresql.org/about/news/postgresql-132-126-1111-1016-9621-and-9525-released-2165/