Korrektiewe opdaterings is gegenereer vir alle ondersteunde PostgreSQL-takke: 14.1, 13.5, 12.9, 11.14, 10.19 en 9.6.24. Vrystelling 9.6.24 sal die laaste opdatering vir die verouderde 9.6-tak wees. Opdaterings vir tak 10 sal gegenereer word tot November 2022, 11 tot November 2023, 12 tot November 2024, 13 tot November 2025, 14 tot November 2026.
Die nuwe weergawes bied meer as 40 regstellings en spreek twee kwesbaarhede (CVE-2021-23214, CVE-2021-23222) in die bedienerproses en die libpq-kliëntbiblioteek aan. Hierdie kwesbaarhede laat 'n aanvaller toe om in 'n geïnkripteerde kommunikasiekanaal in te breek via 'n man-in-die-middel (MITM) aanval. Die aanval vereis nie die korrekte ... SSL-sertifikaat en kan gebruik word teen stelsels wat kliëntverifikasie met behulp van 'n sertifikaat vereis. In die bedienerkonteks laat die aanval SQL-navraagvervanging toe tydens die vestiging van 'n geïnkripteerde kliëntverbinding met die PostgreSQL-bediener. In die libpq-konteks laat die kwesbaarheid 'n aanvaller toe om 'n vals bedienerrespons aan die kliënt terug te stuur. Wanneer dit gekombineer word, laat hierdie kwesbaarhede die onttrekking van wagwoordinligting of ander sensitiewe kliëntdata wat vroeg in die verbinding oorgedra word, toe.
Daarbenewens het Yandex 'n nuwe weergawe van sy Odyssey 1.2-instaanbediener vrygestel, wat ontwerp is om 'n poel oop verbindings na die PostgreSQL DBMS te onderhou en versoekroetering te organiseer. Odyssey ondersteun die uitvoering van veelvuldige werkerprosesse met multi-threaded handlers, en die rigting is ook bediener Wanneer 'n kliënt weer verbind, die vermoë om verbindingspoele aan gebruikers en databasisse te bind. Die kode word in C geskryf en onder die BSD-lisensie versprei.
Die nuwe weergawe van Odyssey voeg beskerming by om datavervanging te blokkeer na SSL-sessie-onderhandeling (laat jou toe om aanvalle te blokkeer deur die bogenoemde kwesbaarhede CVE-2021-23214 en CVE-2021-23222 te gebruik). Ondersteuning vir PAM en LDAP geïmplementeer. Bygevoeg integrasie met die Prometheus moniteringstelsel. Verbeterde berekening van statistieke parameters om rekening te hou met die uitvoeringstyd van transaksies en navrae.
Bron: opennet.ru
