Korrektiewe opdaterings is gegenereer vir alle ondersteunde PostgreSQL-takke: 14.1, 13.5, 12.9, 11.14, 10.19 en 9.6.24. Vrystelling 9.6.24 sal die laaste opdatering vir die verouderde 9.6-tak wees. Opdaterings vir tak 10 sal gegenereer word tot November 2022, 11 tot November 2023, 12 tot November 2024, 13 tot November 2025, 14 tot November 2026.
Die nuwe weergawes bied meer as 40 regstellings en herstel twee kwesbaarhede (CVE-2021-23214, CVE-2021-23222) in die bedienerproses en die libpq-kliëntbiblioteek. Kwesbaarhede laat 'n aanvaller toe om deur 'n MITM-aanval by 'n geënkripteerde kommunikasiekanaal in te breek. Die aanval vereis nie 'n geldige SSL-sertifikaat nie en kan uitgevoer word teen stelsels wat kliëntverifikasie met 'n sertifikaat vereis. In die konteks van 'n bediener laat die aanval die vervanging van sy eie SQL-navraag toe ten tyde van die totstandkoming van 'n geënkripteerde verbinding tussen die kliënt en die PostgreSQL-bediener. In die konteks van libpq laat die kwesbaarheid 'n aanvaller toe om 'n dummy-bedienerreaksie aan die kliënt terug te stuur. Saam maak die kwesbaarhede die onttrekking van inligting oor die wagwoord of ander sensitiewe kliëntdata wat in 'n vroeë stadium van die verbinding oorgedra word, moontlik.
Boonop kan ons let op die publikasie deur Yandex van 'n nuwe weergawe van die Odyssey 1.2-instaanbediener, wat ontwerp is om 'n poel oop verbindings met die PostgreSQL DBMS te handhaaf en versoekroetering te organiseer. Odyssey ondersteun die uitvoer van veelvuldige werkerprosesse met multi-threaded hanteerders, wat na dieselfde bediener stuur wanneer die kliënt weer koppel, die vermoë om verbindingspoele aan gebruikers en databasisse te bind. Die kode is in C geskryf en onder die BSD-lisensie versprei.
Die nuwe weergawe van Odyssey voeg beskerming by om datavervanging te blokkeer na SSL-sessie-onderhandeling (laat jou toe om aanvalle te blokkeer deur die bogenoemde kwesbaarhede CVE-2021-23214 en CVE-2021-23222 te gebruik). Ondersteuning vir PAM en LDAP geïmplementeer. Bygevoeg integrasie met die Prometheus moniteringstelsel. Verbeterde berekening van statistieke parameters om rekening te hou met die uitvoeringstyd van transaksies en navrae.
Bron: opennet.ru