Bütün dəstəklənən PostgreSQL filialları üçün düzəldici yeniləmələr yaradılıb: 13.3, 12.7, 11.12, 10.17 və 9.6.22. 9.6 filialı üçün yeniləmələr 2021-ci ilin noyabrına qədər, 10 - 2022-ci ilin noyabrına qədər, 11 - 2023-cü ilin noyabrına qədər, 12 - 2024-cü ilin noyabrına qədər, 13 - 2025-ci ilin noyabrına qədər formalaşacaq. Yeni buraxılışlar üç zəifliyi aradan qaldırır və gecikmələri aradan qaldırır.
CVE-2021-32027 zəifliyi massiv indekslərinin hesablanması zamanı tam ədədlərin çoxalması səbəbindən verilənlərin bufer hüdudlarından kənara yazılması ilə nəticələnə bilər. SQL sorğularında massiv dəyərlərini manipulyasiya etməklə, SQL sorğularını yerinə yetirmək imkanı olan təcavüzkar istənilən məlumatı proses yaddaşının ixtiyari sahəsinə yaza və DBMS serverinin hüquqları ilə kodunun icrasına nail ola bilər. Digər iki boşluq (CVE-2021-32028, CVE-2021-32029) "INSERT ... ON CONFLICT ... YENİLƏNİB ET" və "YENİLƏNİB ... GERİ DÖNDÜR" sorğularını manipulyasiya edərkən proses yaddaşının sızmasına səbəb olur.
Qeyri-zəiflik aradan qaldırılmasına aşağıdakılar daxildir:
- Birləşdirilmiş parçalanmış cədvəlləri yeniləmək üçün "YENİLƏNİB ... GERİ DÖNÜŞ" yerinə yetirilərkən yanlış hesablamaların aradan qaldırılması.
- Parçalanmış cədvəllərdən istifadə ilə birlikdə xarici açar məhdudiyyətləri olduqda "ALTER TABLE ... ALTER COSTRAINT" əmrinin qəzasını düzəldin.
- "TƏHLÜKƏSİZLİK VƏ ZƏNCİR" funksionallığının işi tənzimləndi.
- FreeBSD-nin yeni buraxılışları üçün defolt fdatasync rejimi thatwal_sync_method olaraq təyin edilmişdir.
- vacuum_cleanup_index_scale_factor parametri defolt olaraq qeyri-aktivdir.
- TLS bağlantılarını işə salarkən ortaya çıxan sabit yaddaş sızması.
- İstifadəçi cədvəllərində təkmilləşdirilə bilməyən məlumat növlərinin olub olmadığını yoxlamaq üçün pg_upgrade-ə əlavə yoxlamalar əlavə edildi.
Mənbə: opennet.ru