Bütün dəstəklənən PostgreSQL filialları üçün düzəldici yeniləmələr yaradılıb: 14.1, 13.5, 12.9, 11.14, 10.19 və 9.6.24. 9.6.24 buraxılışı köhnəlmiş 9.6 filialı üçün son yeniləmə olacaq. 10-cu filial üçün yeniləmələr 2022-ci ilin noyabrına qədər, 11-i 2023-cü ilin noyabrına qədər, 12-si 2024-cü ilin noyabrına qədər, 13-ü 2025-ci ilin noyabrına qədər, 14-ü 2026-cı ilin noyabrına qədər yaradılacaq.
Yeni versiyalar server prosesində və libpq müştəri kitabxanasında 40-dan çox düzəliş təklif edir və iki zəifliyi (CVE-2021-23214, CVE-2021-23222) düzəldir. Zəifliklər təcavüzkarın MITM hücumu vasitəsilə şifrələnmiş rabitə kanalına daxil olmasına imkan verir. Hücum etibarlı SSL sertifikatı tələb etmir və sertifikatla müştəri autentifikasiyası tələb edən sistemlərə qarşı həyata keçirilə bilər. Server kontekstində hücum müştəri ilə PostgreSQL serveri arasında şifrələnmiş əlaqənin qurulması zamanı öz SQL sorğusunu əvəz etməyə imkan verir. Libpq kontekstində zəiflik təcavüzkarın müştəriyə dummy server cavabını qaytarmasına imkan verir. Boşluqlar birlikdə parol və ya əlaqənin ilkin mərhələsində ötürülən digər həssas müştəri məlumatları haqqında məlumatı çıxarmağa imkan verir.
Əlavə olaraq, Yandex tərəfindən PostgreSQL DBMS-ə açıq bağlantılar hovuzunu saxlamaq və sorğu yönləndirməsini təşkil etmək üçün nəzərdə tutulmuş Odyssey 1.2 proksi serverinin yeni versiyasının nəşrini qeyd edə bilərik. Odyssey, müştəri yenidən qoşulduqda eyni serverə yönləndirmək, istifadəçilərə və verilənlər bazalarına qoşulma hovuzlarını bağlamaq qabiliyyətini, çox yivli işləyicilərlə birdən çox işçi proseslərini idarə etməyi dəstəkləyir. Kod C-də yazılmışdır və BSD lisenziyası altında paylanmışdır.
Odyssey-in yeni versiyası SSL sessiyası danışıqlarından sonra məlumatların dəyişdirilməsini bloklamaq üçün qoruma əlavə edir (yuxarıda CVE-2021-23214 və CVE-2021-23222 boşluqlarından istifadə edərək hücumları bloklamağa imkan verir). PAM və LDAP üçün həyata keçirilən dəstək. Prometheus monitorinq sistemi ilə əlavə inteqrasiya. Əməliyyatların və sorğuların icra müddətini nəzərə almaq üçün statistik parametrlərin təkmilləşdirilmiş hesablanması.
Mənbə: opennet.ru