تم إنشاء تحديثات تصحيحية لجميع فروع PostgreSQL المدعومة: 13.3 و 12.7 و 11.12 و 10.17 و 9.6.22. سيتم تشكيل تحديثات الفرع 9.6 حتى نوفمبر 2021 ، 10 - حتى نوفمبر 2022 ، 11 - حتى نوفمبر 2023 ، 12 - حتى نوفمبر 2024 ، 13 - حتى نوفمبر 2025. الإصدارات الجديدة تعالج ثلاث نقاط ضعف وتصلح التراكم.
قد تؤدي الثغرة الأمنية CVE-2021-32027 إلى كتابة البيانات خارج حدود المخزن المؤقت بسبب تجاوز عدد صحيح عند حساب فهارس الصفيف. من خلال معالجة قيم الصفيف في استعلامات SQL ، يمكن للمهاجم الذي لديه حق الوصول إلى تنفيذ استعلامات SQL كتابة أي بيانات إلى منطقة عشوائية من ذاكرة العملية وتحقيق تنفيذ الكود الخاص به مع حقوق خادم DBMS. تتسبب ثغرتان أخريان (CVE-2021-32028 و CVE-2021-32029) في تسرب ذاكرة العملية عند معالجة استعلام "INSERT ... ON CONFLICT ... DO UPDATE" و "UPDATE ... RETURNING".
تشمل إصلاحات عدم الثغرات الأمنية ما يلي:
- التخلص من العمليات الحسابية غير الصحيحة عند إجراء "UPDATE ... RETURNING" لتحديث الجداول المجزأة المرتبطة.
- إصلاح تعطل أمر "ALTER TABLE ... ALTER CONSTRAINT" عند وجود قيود مفتاح خارجي مع استخدام الجداول المُقسمة.
- تم تعديل عمل وظيفة "COMMIT AND CHAIN".
- بالنسبة للإصدارات الجديدة من FreeBSD ، يتم تعيين وضع fdatasync الافتراضي على thatwal_sync_method.
- يتم تعطيل المعلمة vacuum_cleanup_index_scale_factor افتراضيًا.
- تم إصلاح تسرب الذاكرة الذي ظهر عند تهيئة اتصالات TLS.
- أضاف pg_upgrade فحوصات إضافية لمعرفة ما إذا كانت جداول المستخدم بها أنواع بيانات غير قابلة للترقية.
المصدر: opennet.ru