El Grupo de Desarrollo Global de PostgreSQL ha publicado importantes actualizaciones de seguridad para todas las versiones compatibles de PostgreSQL.
Todas las versiones compatibles de PostgreSQL incluyen 17.1, 16.5, 15.9, 14.14, 13.17 y 12.21.
Esta actualización de seguridad aborda cuatro vulnerabilidades de seguridad y más de 35 errores reportados en los últimos meses.
Las vulnerabilidades abordadas por esta actualización de seguridad se rastrean como CVE-2024-10976, CVE-2024-10977, CVE-2024-10978 y CVE-2024-10979.
Además, los desarrolladores de PostgreSQL anunciaron esta actualización como la versión final de PostgreSQL 12, y esta versión marca el fin del soporte para PostgreSQL 12.
vulnerabilidades de seguridad
CVE-2024-10976: Vulnerabilidad de seguridad de fila
Esta vulnerabilidad afecta a las versiones 12-17 de PostgreSQL con una puntuación base CVSS v3.1 de 4,2. Esto puede provocar que se vean o modifiquen filas no deseadas en consultas reutilizadas debido a un seguimiento incompleto de la tabla por seguridad de fila.
CVE-2024-10977: retención de mensajes de error de libpq
Esta vulnerabilidad, que afecta a las versiones 12-17, tiene una puntuación base CVSS v3.1 de 3,1. Esto permite que un servidor potencialmente malicioso envíe bytes arbitrarios que no sean NUL a la aplicación libpq, lo que podría confundirse con resultados de consulta válidos.
CVE-2024-10978: Problema de restablecimiento de ID de usuario
CVSS v3.1 tiene una puntuación base de 4,2 y esta vulnerabilidad afecta a las versiones 12-17. Esta vulnerabilidad podría permitir que un usuario con pocos privilegios acceda a datos no autorizados asignando privilegios incorrectos al utilizar SET ROLE o SET SESSION AUTHORIZATION.
CVE-2024-10979: Vulnerabilidad de variable de entorno PL/Perl
Esta vulnerabilidad crítica afecta a las versiones 12-17 y tiene una puntuación base CVSS v3.1 de 8,8. Esto permite a un usuario de base de datos sin privilegios modificar variables de entorno en procesos confidenciales, lo que podría provocar la ejecución de código arbitrario.
Esta actualización incluye más de 35 correcciones de errores y soluciona problemas como:
Adjuntar y separar particiones con restricciones de clave externa Problemas con el proveedor de intercalación Mejoras en el planificador de consultas Condiciones de carrera de confirmación de transacciones Decodificación lógica Consumo de memoria Fallos JIT en sistemas ARM
Además, esta versión actualiza los archivos de datos de zona horaria a la versión tzdata 2024b, lo que afecta los nombres de zonas compatibles con System-V y las correcciones del historial para varios países.
Los usuarios pueden aplicar esta actualización cerrando PostgreSQL y actualizando sus archivos binarios. Sin embargo, algunos escenarios requieren pasos adicionales.
Para tablas particionadas con restricciones de clave externa que se ven afectadas por el comando ATTACH/DETACH PARTITION, es posible que necesite ajustar manualmente las restricciones. Los usuarios de PostgreSQL 17.0 con ciertas configuraciones regionales deben reconstruir índices basados en texto usando el comando REINDEX INDEX CONCURRENTLY.
Es importante revisar las notas de la versión para obtener instrucciones detalladas de actualización y posibles pasos posteriores a la actualización, especialmente para los usuarios que se saltaron actualizaciones anteriores.
Recomendamos encarecidamente que los usuarios que ejecutan PostgreSQL 12 en entornos de producción actualicen a una versión compatible más nueva para garantizar la seguridad continua y la corrección de errores.
En conclusión, esta actualización de seguridad integral destaca el compromiso del Grupo de Desarrollo Global de PostgreSQL de mantener un sistema de gestión de bases de datos seguro y confiable.
Recomendamos que los usuarios apliquen esta actualización lo antes posible para reducir los posibles riesgos de seguridad y aprovechar las últimas mejoras.
