Uma falha na funcionalidade XML do PostgreSQL (CVE-2012-3488) e outra no XSLT (CVE-2012-3489) foram corrigidas, e os desenvolvedores liberaram versões atualizadas do sistema gerenciador de banco de dados open source com correções relevantes. Segundo relatos, essas falhas tornam inseguro o uso das bibliotecas libxml2 e libxslt. Os desenvolvedores do PostgreSQL ressaltaram que qualquer pessoa que utiliza essas bibliotecas deve checar seus sistemas para verificar falhas similares.

Os dois problemas no PostgreSQL permitem que usuários autenticados leiam arquivos arbitrários no sistema. Os detalhes sobre eles são limitados, mas as notas de lançamento para a 9.1.5 mostram como xml_parse() e xslt_process() poderiam ser usados para acessar informações sobre arquivos ou parte deles.

Para corrigir o problema, os desenvolvedores do PostgreSQL liberaram as versões 9.1.5, 9.0.9, 8.4.13 e 8.3.20, e pedem que os usuários atualizem o mais rápido possível. Entretanto, as novas versões quebram algumas compatibilidades as anterioes: usuários que confiram na funcionalidade XML para validar DTDs externos terão que encontrar uma solução, e aqueles que utilizam xslt_process() para trazer documentos de URLs externas não conseguirão mais fazê-lo.

Eles acrescentaram que essas correções são muito similares aos problemas no WebKit (CVE-2011-1774), no XMLsec (CVE-2011-1425) e no PHP5 (CVE-2012-0057).

A atualização do PostgreSQL também inclui várias correções na versão 9.1 do sistema gerenciador de banco de dados e para versões mais antigas, como em dados da time zone, na documentação e no Python/Unicode.

Com informações de The H