ለሁሉም የሚደገፉ የ PostgreSQL ቅርንጫፎች 14.1፣ 13.5፣ 12.9፣ 11.14፣ 10.19 እና 9.6.24 የማስተካከያ ዝማኔዎች ተፈጥረዋል። ልቀት 9.6.24 ለተቋረጠው 9.6 ቅርንጫፍ የመጨረሻው ማሻሻያ ይሆናል። የቅርንጫፍ 10 ዝማኔዎች እስከ ህዳር 2022፣ 11 እስከ ህዳር 2023፣ 12 እስከ ህዳር 2024፣ 13 እስከ ህዳር 2025፣ 14 እስከ ህዳር 2026 ድረስ ይፈጠራሉ።
አዲሶቹ ስሪቶች ከ40 በላይ ጥገናዎችን ያቀርባሉ እና ሁለት ተጋላጭነቶችን (CVE-2021-23214፣ CVE-2021-23222) በአገልጋይ ሂደት እና በሊብፕq ደንበኛ ቤተ-መጽሐፍት ውስጥ ያስተካክላሉ። ተጋላጭነቶች አንድ አጥቂ በ MITM ጥቃት ወደ ኢንክሪፕትድ የመገናኛ ቻናል እንዲገባ ያስችለዋል። ጥቃቱ የሚሰራ የSSL ሰርተፍኬት አያስፈልገውም እና በሰርተፍኬት የደንበኛ ማረጋገጫ በሚያስፈልጋቸው ስርዓቶች ላይ ሊፈጸም ይችላል። በአገልጋይ አውድ ጥቃቱ በደንበኛው እና በPostgreSQL አገልጋይ መካከል የተመሰጠረ ግንኙነት በሚፈጠርበት ጊዜ የራሱን የSQL ጥያቄ ለመተካት ያስችላል። በlibpq አውድ ውስጥ፣ ተጋላጭነቱ አጥቂው የደሚ የአገልጋይ ምላሽ ለደንበኛው እንዲመልስ ያስችለዋል። ድክመቶቹ አንድ ላይ ሆነው ስለ የይለፍ ቃሉ ወይም ሌሎች በግንኙነቱ መጀመሪያ ደረጃ ላይ ስለሚተላለፉ ሌሎች ሚስጥራዊ የደንበኛ መረጃዎችን ማውጣት ያስችላሉ።
በተጨማሪም፣ ከPostgreSQL DBMS ጋር ክፍት ግንኙነቶችን ለመጠበቅ እና የጥያቄ ማዘዋወርን ለማደራጀት የተነደፈውን አዲሱን የኦዲሴይ 1.2 ተኪ አገልጋይ በ Yandex ህትመቱን እናስተውላለን። ኦዲሴይ ብዙ የሰራተኛ ሂደቶችን ከብዙ ባለብዙ ክር ተቆጣጣሪዎች ጋር ማሄድን ይደግፋል፣ ደንበኛው እንደገና ሲገናኝ ወደተመሳሳይ አገልጋይ ይመራል፣ የግንኙነት ገንዳዎችን ከተጠቃሚዎች እና የውሂብ ጎታዎች ጋር የማገናኘት ችሎታ። ኮዱ በ C የተፃፈ እና በ BSD ፍቃድ ስር ይሰራጫል.
አዲሱ የኦዲሴይ ስሪት ከSSL ክፍለ ጊዜ ድርድር በኋላ የውሂብ መተካትን ለማገድ ጥበቃን ይጨምራል (ከላይ የተጠቀሱትን ተጋላጭነቶች CVE-2021-23214 እና CVE-2021-23222 በመጠቀም ጥቃቶችን ለማገድ ያስችልዎታል)። ለ PAM እና LDAP ድጋፍ ተግባራዊ ተደርጓል። ከPrometheus የክትትል ስርዓት ጋር የተጨመረ ውህደት። የተሻሻለ የስታቲስቲክስ መመዘኛዎች ስሌት የግብይቶች እና መጠይቆችን አፈፃፀም ጊዜ ግምት ውስጥ ማስገባት.
ምንጭ: opennet.ru