Nuevas versiones de PostgreSQL, actualizaciones de seguridad

Forums: 

El Grupo de Desarrollo Mundial de PostgreSQL liberó el día de ayer nuevas versiones menores (8.1.4; 8.0.8; 7.4.13; 7.3.15) de PostgreSQL.
Estas actualizaciones corrigen, entre otras cosas, un bug de seguridad que permitía a un atacante remoto ejecutar SQL INJECTION en bases de datos expuestas en redes públicas o a ingreso de datos no seguros.

Este bug en particular afecta a bases con codificación (encoding) UTF-8 y otras como SJIS, BIG5, GBK, GB18030, y UHC (en general, todas las codificaciones multi-Byte); y que además, según pude entender, esten usando PHP3's addslashes() y magic_quotes o regexp. Bases de datos que esten usando LATIN1 y otras codificaciones "uni-Byte" son seguras, aunque la
actualización nunca viene mal. ;)

Algunas de estas aplicaciones deberán ademas ser arregladas en su codificación para ser seguras. (Solo como información adicional PHP no aconseja el uso de addslashes() y magic_quotes a partir de la versión 4.0 debido a los riesgos de seguridad que representan.)

Información detallada del bug puede ser encontrada en: http://www.postgresql.org/docs/techdocs.52

La actualización se considera urgente y recomendada. Afortunadamente, el actualizar una versión menor de postgres es algo tan simple como instalarla sobre la versión anterior. NO se requiere (aunque es buena costumbre *siempre* tener un respaldo a la mano)
re-inicializar el cluster (initdb).

Tan solo:

1) Baje la versión mas apropiada para usted. (www.postgresql.org/downloads)
Para la rama 7.3.x seria 7.3.15, para la rama 8.0.x seria 8.0.8 y asi
sucesivamente. (Existen paquetes para redhat, y para algunos otros OS'es no se si
hay para debian, o simplemente descargue los fuentes.
2) Lea todos los release notes, lea la documentacion del enlace expuesto arriba, haga los
cambios que requiera su aplicacion de ser necesario.
3) Baje el servicio de postgres.
4) si bajo los fuentes, ejecute: (lo puse en dos lineas solo para que se vea mejor)
./configure --prefix=
--las mismas opciones que el anterior
make
make install (como root)
5) Suba el servicio de postgres.

PostgreSQL es con mucho la base de datos open source mas avanzada del mundo y el equipo de desarrollo esta esforzandose por que lo siga siendo, bugs como estos no son faciles de encontrar en postgres y ciertamente no duran mucho...

Entre otras cosas, les cuento que en Julio (o era junio?) la versión 8.2 entra en beta freeze (basicamente, se dejan de añadir características y se limita a probar las funcionalidades añadidas a la nueva versión), si el cronogama se sigue tal como esta planeado, para fines de año tendremos una nueva versión que añade entre otras cosas:
- mejoras en el rendimiento
- mejoras relacionadas a sistemas OLAP.
- un nuevo tipo de indice (GIN, Generalized Inverted iNdex)
y otras chucherias que no recuerdo en este momento.