Se han generado actualizaciones correctivas para todas las ramas de PostgreSQL compatibles: 14.3, 13.7, 12.11, 11.16 y 10.22. La rama 10.x se acerca al final del soporte (se generarán actualizaciones hasta noviembre de 2022). El lanzamiento de actualizaciones para la rama 11.x durará hasta noviembre de 2023, 12.x hasta noviembre de 2024, 13.x hasta noviembre de 2025, 14.x hasta noviembre de 2026.
Las nuevas versiones ofrecen más de 50 correcciones y eliminan la vulnerabilidad CVE-2022-1552 asociada con la capacidad de eludir el aislamiento de la ejecución de operaciones privilegiadas Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER y pg_amcheck. Un atacante con autoridad para crear objetos no temporales en cualquier esquema de almacenamiento puede provocar que se ejecuten funciones SQL arbitrarias con privilegios de root mientras un usuario privilegiado realiza las operaciones anteriores que afectan al objeto del atacante. En particular, la explotación de la vulnerabilidad puede ocurrir durante la limpieza automática de la base de datos cuando se ejecuta el controlador autovacuum.
Si la actualización no es posible, la solución para bloquear el problema es deshabilitar el vacío automático y no realizar operaciones REINDEXAR, CREAR ÍNDICE, ACTUALIZAR VISTA MATERIALIZADA y CLUSTER como usuario root, y no ejecutar pg_amcheck ni restaurar contenido desde una copia de seguridad creada por pg_dump. . La ejecución de VACUUM se considera segura, al igual que cualquier operación de comando, siempre que los objetos que se procesan sean propiedad de usuarios confiables.
Otros cambios en las nuevas versiones incluyen la actualización del código JIT para que funcione con LLVM 14, permitiendo el uso de plantillas de base de datos.schema.table en las utilidades psql, pg_dump y pg_amcheck, solucionando problemas que conducen a la corrupción de los índices GiST en las columnas del árbol, incorrecta redondeo de valores en el formato de época extraído de los datos de intervalo, operación incorrecta del programador cuando se usan consultas remotas asincrónicas, clasificación incorrecta de las filas de la tabla cuando se usa la expresión CLUSTER en índices con claves basadas en expresiones, pérdida de datos debido a una terminación anormal inmediatamente después construcción de un índice GiST ordenado, punto muerto durante la eliminación del índice particionado, condición de carrera entre la operación DROP TABLESPACE y el punto de control.
Además, podemos destacar el lanzamiento de la extensión pg_ivm 1.0 con la implementación de soporte IVM (Incremental View Maintenance) para PostgreSQL 14. IVM ofrece una forma alternativa de actualizar vistas materializadas, más efectiva si los cambios afectan una pequeña parte de la vista. IVM permite que las vistas materializadas se actualicen instantáneamente con solo cambios incrementales, sin volver a calcular la vista mediante la operación ACTUALIZAR VISTA MATERIALIZADA.
Fuente: opennet.ru