O Grupo de Desenvolvimento Global do PostgreSQL lançou, em 13/02/2020, uma atualização para todas as versões suportadas, incluindo 12.2, 11.7, 10.12, 9.6.17, 9.5.21 e 9.4.26. Esta versão corrige um problema de segurança encontrado no PostgreSQL Server, e mais de 75 bugs relatados nos últimos três meses.

Problemas de segurança

• CVE-2020-1720: ALTER … DEPENDS ON EXTENSION is missing authorization checks.

Versões afetadas: 9.6 – 12

Os sub-commands ALTER … DEPENDS ON EXTENSION não executam verificações de autorização, o que pode permitir que um usuário não privilegiado apague qualquer função, procedure, view materializada, índice ou trigger sob determinadas condições. Esse ataque é possível se um administrador instalou uma extensão e um usuário sem privilégios executar um CREATE, ou um owner da extensão executar um DROP EXTENSION.

Melhorias e correções de bugs

Esta atualização também corrige mais de 75 bugs relatados nos últimos meses. Alguns desses problemas afetam apenas a versão 12, mas também podem afetar todas as versões suportadas.

Algumas dessas correções incluem:

• Correção para tabelas particionadas com referências de chave estrangeira em TRUNCATE … CASCADE que não removem todos os dados. Se você já usou anteriormente TRUNCATE … CASCADE em uma tabela particionada com referências de chave estrangeira, consulte a seção “Atualizando” para obter as etapas de verificação e limpeza;

• Correção da falha ao adicionar restrições de chave estrangeira à tabela com subpartições (também conhecida como tabela particionada em vários níveis). Se você já usou essa funcionalidade anteriormente, pode corrigi-la desanexando e reconectando a partição afetada ou removendo e adicionando novamente a restrição de chave estrangeira à tabela pai. Você pode encontrar mais informações sobre como executar essas etapas na documentação do ALTER TABLE (https://www.postgresql.org/docs/current/sql-altertable.html);

• Correção do problema de desempenho para tabelas particionadas introduzidas pela correção para CVE-2017-7484 que agora permite ao planejador usar estatísticas em uma tabela filho para uma coluna à qual o usuário tem acesso concedido na tabela pai quando a consulta contém um operador permissivo;

• Várias outras correções e alterações para tabelas particionadas, incluindo a proibição de expressões de chave de partição que retornam pseudo-tipos, como RECORD;

• Correção para subscrições da replicação lógica ao executar triggers de UPDATE por coluna;

• Correção de várias falhas para subscrições e publicadores da replicação lógica;

• Melhoria na eficiência da replicação lógica com REPLICA IDENTITY FULL;

• Certifica-se que a execução de pg_replication_slot_advance(), em um slot de replicação físico, persistirá a mudança entre reinicializações;

• Várias correções para os processos do walsender;

• Melhoria no desempenho de hash joins com tabelas internas muito grandes;

• Correção do posicionamento do campo “Subplans Removed” na saída EXPLAIN, colocando-o com seu plano pai Append ou MergeAppend;

• Várias correções para planos de consultas paralelas;

• Várias correções para erros do planejador de consultas, incluindo uma que afeta as associações a subqueries de linha única;

• Várias correções para o MCV de estatísticas extendidas, incluindo uma para estimativa incorreta das cláusulas OR;

• Melhoria da eficiência de hash joins paralela em CPUs com muitos núcleos;

• Ignora a opção CONCURRENTLY ao executar uma criação, remoção ou reindexação de índice em uma tabela temporária;

• Muda para compilação de índices não paralelos quando um CREATE INDEX paralelizado não tiver slots de memória compartilhada dinâmica livre;

• Várias correções para os índices GiST e GIN;

• Correção para o suporte de índices hipotéticos BRIN;

• Correção da falha no ALTER TABLE quando uma coluna referenciada em uma expressão GENERATED é adicionada ou alterada no tipo anterior, na mesma instrução ALTER TABLE;

• Correção no uso de várias triggers AFTER ROW em uma tabela estrangeira;

• Correção do resultado EXTRACT(ISOYEAR FROM timestamp) para datas DC;

• Várias correções para o suporte GSSAPI, incluindo a libpq aceitar receber todos os parâmetros de conexão relacionados ao GSS, mesmo se o código GSSAPI não estiver compilado;

• Várias correções para pg_dump e pg_restore quando executados em modo paralelo;

• Correção de falha no postgres_fdw ao tentar executar uma consulta remota, no servidor remoto, como UPDATE remote_tab SET (x,y) = (SELECT …);

• Não permite valores NULL na função crosstab() (contrib/tablefunc) para evitar falhas;

• Várias correções para o Windows, incluindo uma condição de corrida que pode causar timing oddities com NOTIFY;

• Várias correções de ecpg.

Para a lista completa de alterações disponíveis, consulte as notas de versão: https://www.postgresql.org/docs/current/release.html

NOTA:

A versão do PostgreSQL 9.4, não receberá mais atualizações de segurança e correções de bugs. Planeje-se para atualizar para uma versão mais recente e suportada do PostgreSQL.

Consulte a política de versionamento do PostgreSQL para obter mais informações, em:
https://www.postgresql.org/support/versioning/

Programe-se para atualizar seu banco de dados e manter seu ambiente em segurança.

Fonte:

https://www.postgresql.org/about/news/2011/