FERRAMENTAS LINUX: Atualização moderada de segurança do openSUSE para o postgresql96, postgresql10 e postgresql12, aviso openSUSE: 2020: 1227-1

segunda-feira, 17 de agosto de 2020

Atualização moderada de segurança do openSUSE para o postgresql96, postgresql10 e postgresql12, aviso openSUSE: 2020: 1227-1




Confira !!



Uma atualização que resolve 7 vulnerabilidades e tem duas correções já está disponível.
   Atualização de segurança do openSUSE: atualização de segurança para postgresql96, postgresql10 e postgresql12
______________________________________________________________________________

ID do anúncio: openSUSE-SU-2020: 1227-1
Avaliação: moderada
Referências: # 1091610 # 1104199 # 1104202 # 1134689 # 1145092
                    # 1148643 # 1163985 # 1171924 # 1175194
Referências cruzadas: CVE-2018-10915 CVE-2018-10925 CVE-2018-1115
                    CVE-2019-10130 CVE-2019-10208 CVE-2020-14350
                    CVE-2020-1720
Produtos afetados:
                    openSUSE Leap 15.1
______________________________________________________________________________

   Uma atualização que resolve 7 vulnerabilidades e tem duas correções
   está agora disponivel.

Descrição:

   Esta atualização para postgresql96, postgresql10 e postgresql12 corrige o
   seguintes questões:

   postgresql10 foi atualizado para 10.13 (bsc # 1171924).

     https://www.postgresql.org/about/news/2038/
   https://www.postgresql.org/docs/10/release-10-13.html

   postgresql10 foi atualizado para 10.12 (CVE-2020-1720, bsc # 1163985)

   - https://www.postgresql.org/about/news/2011/
   - https://www.postgresql.org/docs/10/release-10-12.html

   postgresql10 foi atualizado para 10.11:

   - https://www.postgresql.org/about/news/1994/
   - https://www.postgresql.org/docs/10/release-10-11.html


   postgresql12 foi atualizado para 12.3 (bsc # 1171924).

   Correções de bugs e melhorias:

   - Várias correções para colunas GERADAS, incluindo um problema de onde estava
     possível travar ou corromper dados em uma tabela quando a saída do
     coluna gerada era a cópia exata de uma coluna física na tabela,
     por exemplo, se a expressão chamou uma função que poderia retornar a sua própria
     entrada.
   - Várias correções para ALTER TABLE, incluindo a garantia de SET STORAGE
     diretiva é propagada para os índices de uma tabela.
   - Corrigir uma condição de corrida potencial ao usar DROP OWNED BY enquanto outro
     sessão está excluindo os mesmos objetos.
   - Permitir que uma partição seja desanexada quando herdar gatilhos ROW.
   - Várias correções para REINDEX CONCURRENTLY, especialmente com problemas quando um
     A operação REINDEX CONCURRENTLY falha.
   - Corrigir falha quando COLLATE é aplicado a um tipo não coligável em uma partição
     expressão ligada.
   - Corrigir a regressão de desempenho em overflow / underflow de ponto flutuante
     detecção.
   - Várias correções para pesquisa de texto completo, especialmente com pesquisa de frase.
   - Corrigir vazamento de memória de tempo de vida de consulta para uma função de retorno de conjunto usada em um
     cláusula FROM da consulta.
   - Várias correções de relatórios para a saída de VACUUM VERBOSE.
   - Permitir a entrada do tipo círculo para aceitar o formato (x, y), r, que é
     especificado na documentação.
   - Permitir que as funções get_bit () e set_bit () não falhem em bytea
     strings com mais de 256 MB.
   - Evite a reciclagem prematura de segmentos WAL durante a recuperação de colisão, que
     pode fazer com que os segmentos do WAL sejam reciclados antes de serem arquivados.
   - Evite tentar obter arquivos WAL inexistentes do armazenamento de arquivos
     durante a recuperação, pulando cronogramas irrelevantes.
   - Várias correções para replicação lógica e slots de replicação.
   - Corrigir várias condições de corrida no gerenciamento de espera síncrona, incluindo
     um que ocorreu ao alterar a configuração synchronous_standby_names.
   - Várias correções para suporte GSSAPI, incluindo uma correção para um vazamento de memória que
     ocorreu ao usar a criptografia GSSAPI.
   - Certifique-se de que os membros da função pg_read_all_stats possam ler todos
     visualizações estatísticas.
   - Corrija a regressão de desempenho na visualização information_schema.triggers.
   - Corrigir vazamento de memória em libpq ao usar sslmode = verify-full.
   - Corrigido travamento no psql ao tentar restabelecer uma conexão com falha.
   - Permitir o preenchimento com tabulação do argumento do nome do arquivo para o comando \ gx no psql.
   - Adiciona suporte pg_dump para ALTER ... DEPENDE DA EXTENSÃO.
   - Várias outras correções para pg_dump, que incluem comentários de despejo em RLS
     políticas e postergando a restauração de gatilhos de evento até o fim.
   - Certifique-se de que pg_basebackup gere arquivos tar válidos.
   - pg_checksums pula subdiretórios de tablespace que pertencem a um diferente
     Versão principal do PostgreSQL
   - Várias correções de compatibilidade do Windows

   Esta atualização também contém fuso horário tzdata release 2020a para a lei DST
   mudanças no Marrocos e no canadense Yukon, além de correções históricas para
   Xangai. A zona América / Godthab foi renomeada para América / Nuuk para
   refletir o uso atual do inglês; no entanto, o nome antigo permanece disponível como
   um link de compatibilidade. Isso também atualiza a lista do initdb de janelas conhecidas
   nomes de fusos horários para incluir adições recentes.

   Para mais detalhes, confira:

   - https://www.postgresql.org/docs/12/release-12-3.html

   Outras correções:

   - Deixe o postgresqlXX entrar em conflito com o postgresql-noarch <12.0.1 para obter uma
     e transição completa para o novo esquema de embalagem.


   postgresql96 foi atualizado para 9.6.19:

     * CVE-2020-14350, boo # 1175194: Faça a instalação dos módulos contrib
       scripts mais seguros.
     * https://www.postgresql.org/docs/9.6/release-9-6-19.html

   - Empacote o link simbólico / usr / lib / postgresql apenas no pacote principal.

   - Deixe o postgresqlXX entrar em conflito com o postgresql-noarch <12.0.1 para obter uma
     e transição completa para o novo esquema de embalagem.

   - atualize para 9.6.18 (boo # 1171924).
     https://www.postgresql.org/about/news/2038/
     https://www.postgresql.org/docs/9.6/release-9-6-18.html
   - Unifique o arquivo de especificações para funcionar em todas as versões atuais do PostgreSQL para
     simplificar a manutenção futura.
   - Mova do tipo de compilação "libs" para um "mini" pacote que irá
     ser usado apenas dentro do serviço de compilação e não ser enviado, para evitar
      confusão com os pacotes debuginfo (boo # 1148643).

   - atualização para 9.6.17 (CVE-2020-1720, boo # 1163985)
     https://www.postgresql.org/about/news/2011/
     https://www.postgresql.org/docs/9.6/release-9-6-17.html

   - use e empacote a soma de verificação sha256 para a fonte

   - atualização para 9.6.16: https://www.postgresql.org/about/news/1994/
     https://www.postgresql.org/docs/9.6/release-9-6-16.html

   - adiciona requer ao pacote devel para as libs que são retornadas por
     pg_config --libs

   - Atualização para 9.6.15:
     * https://www.postgresql.org/about/news/1960/
     * https://www.postgresql.org/docs/9.6/release-9-6-15.html
     * CVE-2019-10208, boo # 1145092: TYPE em pg_temp executa SQL arbitrário
       durante a execução do SECURITY DEFINER.

   - Use objetos FAT LTO para fornecer uma biblioteca estática adequada.

   - Atualize para 9.6.14: https://www.postgresql.org/docs/9.6/release-9-6-14.html

   - Atualização para 9.6.13:
     * https://www.postgresql.org/docs/9.6/release-9-6-13.html
     * https://www.postgresql.org/about/news/1939/
     * CVE-2019-10130, boo # 1134689: Impedir que políticas de segurança em nível de linha
       sendo contornado por estimadores de seletividade.

   - Torne o pacote server-devel exclusivo entre as versões.

   - Atualização para 9.6.12:
     * https://www.postgresql.org/docs/9.6/release-9-6-12.html
     * https://www.postgresql.org/about/news/1920/
     * Por padrão, entre em pânico em vez de tentar novamente após a falha de fsync (), para evitar
       possível corrupção de dados.
     * Numerosas outras correções de bugs.
   - Revisão README.SUSE

   - Atualização para 9.6.11:
     * Várias correções de bugs, consulte as notas de lançamento:
       https://www.postgresql.org/docs/9.6/release-9-6-11.html
     * Remova dependências de biblioteca desnecessárias de PGXS.

   - add fornece para o novo pacote server-devel que será introduzido em
     postgresql 11

   - Atualização para 9.6.10:
     https://www.postgresql.org/docs/current/static/release-9-6-10.html
     * CVE-2018-10915, boo # 1104199: Correção da falha ao redefinir totalmente o estado da libpq
       entre tentativas de conexão.
     * CVE-2018-10925, boo # 1104202: Corrigir INSERT ... ON CONFLICT UPDATE through
       uma visão que não é apenas SELECT * FROM ...

   - Atualizar para 9.6.9: https://www.postgresql.org/about/news/1851/
     https://www.postgresql.org/docs/current/static/release-9-6-9.html A
     despejo / restauração não é necessário para aqueles que executam 9.6.X. No entanto, se você
     use a extensão adminpack, você deve atualizá-lo de acordo com o primeiro
     entrada do changelog abaixo. Além disso, se os erros de marcação de função mencionados
     na segunda e terceira entradas do changelog abaixo afetam você, você
     deseja tomar medidas para corrigir seus catálogos de banco de dados.
     * CVE-2018-1115, boo # 1091610: Remover privilégio de execução pública de
       Função pg_logfile_rotate () de contrib / adminpack pg_logfile_rotate ()
       é um wrapper obsoleto para a função central pg_rotate_logfile ().
       Quando essa função foi alterada para contar com privilégios de SQL para acesso
       controle em vez de uma verificação de superusuário embutida, pg_logfile_rotate ()
       deveria ter sido atualizado também, mas a necessidade disso foi perdida.
       Portanto, se o adminpack estiver instalado, qualquer usuário pode solicitar um arquivo de log
       rotação, criando um pequeno problema de segurança. Depois de instalar este
       atualização, os administradores devem atualizar o adminpack executando ALTER
       EXTENSION adminpack UPDATE em cada banco de dados em que adminpack está
       instalado.
     * Corrigir marcações de volatilidade incorretas em algumas funções integradas
     * Corrija marcações de segurança paralelas incorretas em algumas funções internas.


   Esta atualização foi importada do SUSE: SLE-15-SP1: Projeto de atualização de atualização.


Instruções do patch:

   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
   como YaST online_update ou "patch zypper".

   Como alternativa, você pode executar o comando listado para o seu produto:

   - openSUSE Leap 15.1:

      zypper em patch -t openSUSE-2020-1227 = 1



Lista de Pacotes:

   - openSUSE Leap 15.1 (i586 x86_64):

      postgresql10-10.13-lp151.2.14.1
      postgresql10-contrib-10.13-lp151.2.14.1
      postgresql10-contrib-debuginfo-10.13-lp151.2.14.1
      postgresql10-debuginfo-10.13-lp151.2.14.1
      postgresql10-debugsource-10.13-lp151.2.14.1
      postgresql10-devel-10.13-lp151.2.14.1
      postgresql10-devel-debuginfo-10.13-lp151.2.14.1
      postgresql10-plperl-10.13-lp151.2.14.1
      postgresql10-plperl-debuginfo-10.13-lp151.2.14.1
      postgresql10-plpython-10.13-lp151.2.14.1
      postgresql10-plpython-debuginfo-10.13-lp151.2.14.1
      postgresql10-pltcl-10.13-lp151.2.14.1
      postgresql10-pltcl-debuginfo-10.13-lp151.2.14.1
      postgresql10-server-10.13-lp151.2.14.1
      postgresql10-server-debuginfo-10.13-lp151.2.14.1
      postgresql10-test-10.13-lp151.2.14.1
      postgresql96-9.6.19-lp151.3.3.1
      postgresql96-contrib-9.6.19-lp151.3.3.1
      postgresql96-contrib-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-debugsource-9.6.19-lp151.3.3.1
      postgresql96-devel-9.6.19-lp151.3.3.1
      postgresql96-devel-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-plperl-9.6.19-lp151.3.3.1
      postgresql96-plperl-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-plpython-9.6.19-lp151.3.3.1
      postgresql96-plpython-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-pltcl-9.6.19-lp151.3.3.1
      postgresql96-pltcl-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-server-9.6.19-lp151.3.3.1
      postgresql96-server-debuginfo-9.6.19-lp151.3.3.1
      postgresql96-test-9.6.19-lp151.3.3.1

   - openSUSE Leap 15.1 (x86_64):

      libecpg6-12.3-lp151.2.1
      libecpg6-debuginfo-12.3-lp151.2.1
      libpq5-12.3-lp151.2.1
      libpq5-debuginfo-12.3-lp151.2.1
      postgresql12-12.3-lp151.2.1
      postgresql12-contrib-12.3-lp151.2.1
      postgresql12-contrib-debuginfo-12.3-lp151.2.1
      postgresql12-debuginfo-12.3-lp151.2.1
      postgresql12-debugsource-12.3-lp151.2.1
      postgresql12-devel-12.3-lp151.2.1
      postgresql12-devel-debuginfo-12.3-lp151.2.1
      postgresql12-llvmjit-12.3-lp151.2.1
      postgresql12-llvmjit-debuginfo-12.3-lp151.2.1
      postgresql12-plperl-12.3-lp151.2.1
      postgresql12-plperl-debuginfo-12.3-lp151.2.1
      postgresql12-plpython-12.3-lp151.2.1
      postgresql12-plpython-debuginfo-12.3-lp151.2.1
      postgresql12-pltcl-12.3-lp151.2.1
      postgresql12-pltcl-debuginfo-12.3-lp151.2.1
      postgresql12-server-12.3-lp151.2.1
      postgresql12-server-debuginfo-12.3-lp151.2.1
      postgresql12-server-devel-12.3-lp151.2.1
      postgresql12-server-devel-debuginfo-12.3-lp151.2.1
      postgresql12-test-12.3-lp151.2.1

   - openSUSE Leap 15.1 (noarch):

      postgresql-12.0.1-lp151.6.9.1
      postgresql-contrib-12.0.1-lp151.6.9.1
      postgresql-devel-12.0.1-lp151.6.9.1
      postgresql-docs-12.0.1-lp151.6.9.1
      postgresql-llvmjit-12.0.1-lp151.6.9.1
      postgresql-plperl-12.0.1-lp151.6.9.1
      postgresql-plpython-12.0.1-lp151.6.9.1
      postgresql-pltcl-12.0.1-lp151.6.9.1
      postgresql-server-12.0.1-lp151.6.9.1
      postgresql-server-devel-12.0.1-lp151.6.9.1
      postgresql-test-12.0.1-lp151.6.9.1
      postgresql10-docs-10.13-lp151.2.14.1
      postgresql12-docs-12.3-lp151.2.1
      postgresql96-docs-9.6.19-lp151.3.3.1


Referências:

   https://www.suse.com/security/cve/CVE-2018-10915.html
   https://www.suse.com/security/cve/CVE-2018-10925.html
   https://www.suse.com/security/cve/CVE-2018-1115.html
   https://www.suse.com/security/cve/CVE-2019-10130.html
   https://www.suse.com/security/cve/CVE-2019-10208.html
   https://www.suse.com/security/cve/CVE-2020-14350.html
   https://www.suse.com/security/cve/CVE-2020-1720.html
   https://bugzilla.suse.com/1091610
   https://bugzilla.suse.com/1104199
   https://bugzilla.suse.com/1104202
   https://bugzilla.suse.com/1134689
   https://bugzilla.suse.com/1145092
   https://bugzilla.suse.com/1148643
   https://bugzilla.suse.com/1163985
   https://bugzilla.suse.com/1171924
   https://bugzilla.suse.com/1175194

-

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário