Regstellende opdaterings is gegenereer vir alle ondersteunde PostgreSQL-takke: 13.3, 12.7, 11.12, 10.17 en 9.6.22. Opdaterings vir tak 9.6 sal gegenereer word tot November 2021, 10 tot November 2022, 11 tot November 2023, 12 tot November 2024, 13 tot November 2025. Die nuwe vrystellings skakel drie kwesbaarhede uit en herstel opgehoopte foute.
Kwesbaarheid CVE-2021-32027 kan 'n bufferskryf buite die grense tot gevolg hê as gevolg van 'n heelgetaloorloop tydens skikkingsindeksberekeninge. Deur skikkingwaardes in SQL-navrae te manipuleer, kan 'n aanvaller met toegang om SQL-navrae uit te voer enige data na 'n arbitrêre area van prosesgeheue skryf en uitvoering van sy kode met die regte van die DBMS-bediener verkry. Twee ander kwesbaarhede (CVE-2021-32028, CVE-2021-32029) lei tot lekkasie van prosesgeheue-inhoud wanneer "INSERT ... ON CONFLICT ... DO UPDATE" en "UPDATE ... RETURNING"-versoeke gemanipuleer word.
Nie-kwesbaarheidoplossings sluit in:
- Elimineer verkeerde berekeninge wanneer "UPDATEER...TERUG" uitgevoer word om saamgevoegde geskeurde tabelle op te dateer.
- Los "ALTER TABLE ... ALTER CONSTRAINT" opdragmislukking wanneer daar vreemde sleutelbeperkings is in kombinasie met die gebruik van gepartisioneerde tabelle.
- Die "COMMIT AND CHAIN" funksionaliteit is verbeter.
- Vir nuwe vrystellings van FreeBSD is die fdatasync-modus nou by verstek op thatwal_sync_method gestel.
- Die vacuum_cleanup_index_scale_factor parameter is by verstek gedeaktiveer.
- Vaste geheuelekkasies wat voorkom wanneer TLS-verbindings geïnisieer word.
- Bykomende kontrole is by pg_upgrade gevoeg vir die teenwoordigheid van datatipes in gebruikertabelle wat nie opgegradeer kan word nie.
Bron: opennet.ru