PostgreSQL lançou uma atualização para corrigir uma falha critica

Edivaldo Brito

4 anos atrás

O projeto PostgreSQL lançou uma atualização para corrigir uma falha critica. Confira os detalhes dessa correção e atualize seu SGBD.

O PostgreSQL é um poderoso sistema de banco de dados objeto-relacional de código aberto. Ele tem mais de 15 anos de desenvolvimento ativo e uma arquitetura comprovada que lhe deu uma forte reputação de confiabilidade, integridade de dados e correção.

Recentemente, os desenvolvedores do PostgreSQL anunciaram o lançamento das versões corretivas das versões 9 a 12, sendo as novas versões 12.2, 11.7, 10.12, 9.6.17, 9.5.21 e 9.4.26. Das quais a última (9.4.26) é a última atualização preparada para as ramificações 9.4.

Enquanto as atualizações para a versão 9.5 serão formadas até fevereiro de 2021, 9,6 até novembro de 2021, PostgreSQL 10 até novembro de 2022, PostgreSQL 11 até novembro de 2023 e PostgreSQL 12 até novembro de 2024.

Com o lançamento das novas versões corretivas, os desenvolvedores mencionaram que 75 erros foram corrigidos e a vulnerabilidade foi corrigida (CVE-2020-1720) devido à falta de verificação de autorização ao executar o comando “ALTER … DEPENDS ON EXTENSION”.

PostgreSQL lançou uma atualização para corrigir uma falha critica

Sob certas circunstâncias, a vulnerabilidade permite que um usuário sem privilégios elimine qualquer função, procedimento, exibição materializada, índice ou gatilho.

Um ataque é possível se o administrador instalou alguma extensão e o usuário pode executar o comando CREATE ou o proprietário da extensão pode ser persuadido a executar o comando DROP EXTENSION.

Além disso, você pode notar a aparência de um novo aplicativo pgcat, que permite replicar dados entre vários servidores PostgreSQL. O programa suporta replicação lógica por meio de conversão e reprodução em outro host de um script SQL executado no servidor principal que leva a alterações nos dados.

Há também algumas alterações que afetam apenas a versão 12:

Suporte para qualquer tipo de tabela de destino (visualizações, fdw (Foreign Data Wrapper), tabelas segmentadas, tabelas citus distribuídas).
Capacidade de redefinir nomes de tabelas (replicação de uma tabela para outra).
Suporte para replicação bidirecional através da transferência de apenas alterações locais, ignorando réplicas do exterior.
A presença de um sistema de resolução de conflitos baseado no algoritmo LWW (last-writer-win).
A capacidade de armazenar informações sobre o andamento da replicação e réplicas não aplicadas em uma tabela separada, que pode ser usada para restaurar após a retomada do nó de recebimento temporariamente inacessível.

E as correções incluem o seguinte, dos quais mais afetam a versão 12, mas também estão presentes em algumas versões anteriores:

O erro foi corrigido adicionando restrições de chave estrangeira à tabela com subpartições (também conhecida como tabela particionada em vários níveis). Se essa funcionalidade já tiver sido usada, poderá ser resolvida separando e reconectando a partição afetada ou liberando e adicionando novamente a restrição de chave estrangeira à tabela principal. Você pode encontrar mais informações sobre como executar essas etapas na documentação da ALTER TABLE.
Corrigido o problema de desempenho para tabelas particionadas introduzidas pela correção para CVE-2017-7484, que agora permite ao planejador usar estatísticas em uma tabela secundária para uma coluna à qual o usuário tem acesso na tabela principal quando a consulta contém um operador com vazamento.
Várias outras correções e alterações de tabelas particionadas, incluindo expressões de partição de chave que retornam pseudo-tipos, como RECORD, são descartadas.
Correção para os assinantes de replicação lógica executarem acionadores UPDATE por coluna.
Correção para vários bloqueios e falhas para assinantes e editores de replicação lógica.
A eficiência da replicação lógica foi aprimorada com a REPLICA IDENTITY FULL.
Várias correções para processos de walsender.
O desempenho de junções de hash com relacionamentos internos muito grandes é aprimorado.
Várias correções para planos de consulta paralelos.
Várias correções para erros do planejador de consultas, incluindo uma que afeta junções de subconsulta de linha única.
A inclusão de várias correções para MCVs estende as estatísticas, incluindo uma para estimativa incorreta das cláusulas OR.
A eficiência da união paralela de hash na CPU com muitos núcleos foi aprimorada.

Se você quiser saber mais sobre o lançamento dessas versões corretivas, verifique os detalhes nesse endereço.

Quanto à atualização para a nova versão corretiva correspondente à versão em que você está, não é necessário executar um pg_upgrade, apenas atualize os binários da sua instalação.