Rilascio aggiornamenti di sicurezza 11 agosto 2016

Il PGDG (PostgreSQL Global Development Group) ha rilasciato un
aggiornamento per tutte le versioni del sistema di database PostgreSQL
attualmente supportate, composto dalle *"minor release"* 9.5.4, 9.4.9,
9.3.14, 9.2.18 e 9.1.23.

L'aggiornamento risolve due problemi di sicurezza che causavano
rispettivamente un crash del sistema e una *escalation* delle
autorizzazioni. Inoltre corregge altri bug emersi negli ultimi tre mesi. Si
incoraggiano gli utenti a pianificare l'aggiornamento dei server alla prima
occasione possibile.
Aggiornamenti di sicurezza

Questo aggiornamento risolve due falle di sicurezza:

- CVE-2016-5423: *certain nested CASE expressions can cause the server
to crash.*
- CVE-2016-5424: *database and role names with embedded special
characters can cause triggering code during administrative operations like
pg_dumpall.*

Il fix del secondo problema aggiunge anche una opzione, --reuse-previous,
al comando \connect di psql. Dopo l'aggiornamento, pg_dumpall si rifiuterà
di gestire nomi di ruolo e database contenenti un ritorno a capo. Per
maggiori informazioni sui bug e sul loro impatto in termini di
retro-compabilità, si faccia riferimento alle note di rilascio.
Altre correzioni e miglioramenti

Questo aggiornamento corregge anche un numero di bug emersi e riportati nei
mesi precedenti. Alcuni di questi riguardano esclusivamente la 9.5, ma
altri si riferiscono a tutte le versioni supportate. La lista di
correzioni, in inglese, è la seguente:

- Fix misbehaviors of IS NULL/IS NOT NULL with composite values
- Fix three areas where INSERT ... ON CONFLICT failed to work properly
with other SQL features.
- Make INET and CIDR data types properly reject bad IPv6 values
- Prevent crash in close_ps() for NaN input coordinates
- Avoid possible crash in pg_get_expr()
- Fix several one-byte buffer over-reads in to_number()
- Don't pre-plan query if WITH NO DATA is specified
- Avoid crash-unsafe state with expensive heap_update() paths
- Fix hint bit update during WAL replay of row locking operations
- Avoid unnecessary "could not serialize access" with FOR KEY SHARE
- Avoid crash in postgres -C when the specified variable is a null string
- Fix two issues with logical decoding and subtransactions
- Ensure that backends see up-to-date statistics for shared catalogs
- Avoid consuming a transaction ID during VACUUM
- Prevent possible failure when vacuuming multixact IDs in an upgraded
database
- When a manual ANALYZE specifies colums, don't reset
changes_since_analyze
- Fix ANALYZE's overestimation of n_distinct for nulls
- Fix bug in b-tree mark/restore processing
- Fix building of large (bigger than shared_buffers) hash indexes
- Prevent infinite loop in GiST index build with NaN values
- Fix possible crash during a nearest-neighbor indexscan
- Fix "PANIC: failed to add BRIN tuple" error
- Prevent possible crash during background worker shutdown
- Many fixes for issues in parallel pg_dump and pg_restore
- Make pg_basebackup accept -Z 0 as no compression
- Make regression tests safe for Danish and Welsh locales

La libreria client libpq è stata aggiornata per supportare il nuovo formato
di *versioning* di PostgreSQL che sarà composto soltanto da due parti e non
più tre come ora (e.g.: 10.0 invece di 9.5.4). Questo aggiornamento
contiene anche la release 2016f di *tzdata*, con aggiornamenti per
Kemerovo, Novosibirsk, Azerbaijan, Bielorussia e Marocco.
Uscita dal supporto comunitario per la versione 9.1

La versione 9.1 uscirà dal supporto comunitario a settembre 2016 (*EOL,
End-of-Life*). Di conseguenza, questo aggiornamento sarà probabilmente
l'ultimo per questa versione. Gli utenti di PostgreSQL 9.1 dovrebbero
iniziare a pianificare un aggiornamento a una versione più recente prima di
tale data. Si vedano le policy di versioning
<http://www.postgresql.org/support/versioning/> per maggiori informazioni
sulle date di fine supporto comunitario delle varie versioni di PostgreSQL.
Istruzioni di aggiornamento

Come ogni aggiornamento di minor release, non è necessario eseguire alcun
dump e restore dei database e neppure utilizzare pg_upgrade per effettuare
questi ultimi aggiornamenti; è sufficiente spegnere il servizio PostgreSQL
ed aggiornare i binari. Gli utenti che hanno saltato aggiornamenti
precedenti, potrebbero necessitare di ulteriori operazioni da eseguire dopo
l’aggiornamento; si vedano le varie note di rilascio per maggiori dettagli.
Link utili

- Download <http://www.postgresql.org/download>
- Release Notes
<http://www.postgresql.org/docs/current/static/release.html>
- Security Page <http://www.postgresql.org/support/security/>
- Versioning Policy <http://www.postgresql.org/support/versioning/>

Fonte: https://www.postgresql.org/about/news/1688/

Traduzione in italiano:
http://blog.2ndquadrant.it/rilascio-aggiornamenti-di-sicurezza-11-agosto-2016/

--
Gabriele Bartolini - 2ndQuadrant Italia - Director
PostgreSQL Training, Services and Support
gabriele(dot)bartolini(at)2ndQuadrant(dot)it | www.2ndQuadrant.it