Сфармаваны якія карэктуюць абнаўленні для ўсіх падтрымоўваных галінак PostgreSQL: 13.3, 12.7, 11.12, 10.17 і 9.6.22. Абнаўленні для галінкі 9.6 будуць фарміравацца да лістапада 2021 года, 10 - да лістапада 2022 года, 11 - да лістапада 2023 года, 12 - да лістапада 2024 года, 13 да лістапада 2025 года. У новых выпусках ухілены тры ўразлівасці і выпраўленыя назапашаныя памылкі.
Уразлівасць CVE-2021-32027 можа прывесці да запісу дадзеных за межы буфера з-за цэлалікавага перапаўнення пры вылічэннях індэксаў масіваў. Праз маніпуляцыю са значэннямі масіваў у SQL-запытах атакавалы, мелы доступ да выканання запытаў SQL, можа запісаць любыя дадзеныя ў адвольную вобласць памяці працэсу і дамагчыся выкананні свайго кода з правамі сервера СКБД. Дзве іншыя ўразлівасці (CVE-2021-32028, CVE-2021-32029) прыводзяць у цечцы змесціва памяці працэсу пры маніпуляцыі з запытамі "INSERT … ON CONFLICT … DO UPDATE" і "UPDATE … RETURNING".
З не звязаных з уразлівасцямі выпраўленняў можна вылучыць:
- Устараненне некарэктных вылічэнняў пры выкананні «UPDATE … RETURNING» для абнаўлення аб'яднаных сегментаваных табліц.
- Устараненне збою каманды "ALTER TABLE … ALTER CONSTRAINT" пры наяўнасці абмежаванняў для знешніх ключоў у спалучэнні з выкарыстаннем сегментаваць табліц.
- Наладжана работа функцыянальнасці "COMMIT AND CHAIN".
- Для новых выпускаў FreeBSD забяспечана выстаўленне па змаўчанні рэжыму fdatasync у thatwal_sync_method.
- Адключаны па змаўчанні параметр vacuum_cleanup_index_scale_factor.
- Выпраўленыя ўцечкі памяці, якія выяўляюцца пры ініцыялізацыі TLS -злучэнняў.
- У pg_upgrade дададзены дадатковыя праверкі на наяўнасць у карыстацкіх табліцах тыпаў дадзеных, якія не падлягаюць абнаўленню.
Крыніца: opennet.ru