تم إنشاء تحديثات تصحيحية لجميع فروع PostgreSQL المدعومة: 13.3، 12.7، 11.12، 10.17 و 9.6.22. سيتم إنشاء التحديثات للفرع 9.6 حتى نوفمبر 2021، و10 حتى نوفمبر 2022، و11 حتى نوفمبر 2023، و12 حتى نوفمبر 2024، و13 حتى نوفمبر 2025. تعمل الإصدارات الجديدة على إصلاح ثلاث ثغرات أمنية وتصحيح الأخطاء المتراكمة.
قد تؤدي الثغرة الأمنية CVE-2021-32027 إلى كتابة بيانات خارج النطاق بسبب تجاوز سعة عدد صحيح عند حساب مؤشرات المصفوفة. من خلال التلاعب بقيم المصفوفة في استعلامات SQL، يستطيع المهاجم الذي لديه صلاحية تنفيذ هذه الاستعلامات كتابة بيانات عشوائية في أي منطقة من ذاكرة العملية وتنفيذ تعليماته البرمجية بصلاحيات كاملة. الخادم DBMS. هناك ثغرتان أخريان (CVE-2021-32028، CVE-2021-32029) تؤديان إلى تسرب ذاكرة العملية عند معالجة استعلامات "INSERT … ON CONFLICT … DO UPDATE" و "UPDATE … RETURNING".
ومن بين الإصلاحات غير المتعلقة بالثغرات الأمنية، يمكن تسليط الضوء على ما يلي:
- إصلاح الحسابات غير الصحيحة عند إجراء "تحديث ... العودة" لتحديث الجداول المقسمة المنضمة.
- إصلاح فشل أمر ALTER TABLE … ALTER CONSTRAINT عندما تكون قيود المفتاح الخارجي موجودة مع الجداول المقسمة.
- تم تعديل وظيفة "COMMIT AND CHAIN".
- تضمن إصدارات FreeBSD الأحدث الآن تعيين وضع fdatasync الافتراضي على thatwal_sync_method.
- يتم تعطيل معلمة vacuum_cleanup_index_scale_factor بشكل افتراضي.
- تم إصلاح تسربات الذاكرة التي حدثت عند تهيئة اتصالات TLS.
- أصبح لدى pg_upgrade الآن فحوصات إضافية لجداول المستخدم للتأكد من أنها تحتوي على أنواع بيانات لا يمكن ترقيتها.
المصدر: opennet.ru
