Сфарміраваны карэкціруючыя абнаўленні для ўсіх падтрымліваемых галінак PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 і 9.6.24. Выпуск 9.6.24 стане апошнім абнаўленнем для галіны 9.6, падтрымка якой спынена. Абнаўленні для галінкі 10 будуць фарміравацца да лістапада 2022 года, 11 - да лістапада 2023 года, 12 - да лістапада 2024 года, 13 - да лістапада 2025 года, 14 - да лістапада 2026 года.
У новых версіях прапанавана больш за 40 выпраўленняў і ўхіленыя дзве ўразлівасці (CVE-2021-23214, CVE-2021-23222) у серверным працэсе і кліенцкай бібліятэцы libpq. Уразлівасці дазваляюць атакаваламу ўклінавацца ў шыфраваны канал сувязі праз правядзенне MITM-напады. Атака не патрабуе наяўнасці карэктнага SSL-сертыфіката і можа быць праведзена супраць сістэм, якія патрабуюць аўтэнтыфікацыі кліента па сертыфікаце. У кантэксце сервера напад дазваляе ажыццявіць падстаноўку свайго SQL-запыту ў момант усталёўкі шыфраванага злучэння кліента з поўначом PostgreSQL. У кантэксце libpq уразлівасць дазваляе атакаваламу вярнуць кліенту фіктыўны адказ сервера. У спалучэнні ўразлівасці дазваляюць атрымаць інфармацыю аб паролі ці іншых канфідэнцыйных дадзеных кліента, якія перадаюцца на раннім этапе злучэння.
Дадаткова можна адзначыць публікацыю кампаніяй Yandex новай версіі проксі-сервера Odyssey 1.2, прызначанага для падтрымання пула адчыненых злучэнняў да СКБД PostgreSQL і арганізацыі маршрутызацыі запытаў. Odyssey падтрымлівае запуск некалькіх працоўных працэсаў з шматструменнымі апрацоўшчыкамі, кірунак да таго ж серверу пры паўторным злучэнні кліента, магчымасць прывязкі пулаў злучэнняў да карыстачоў і БД. Код напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй BSD.
У новай версіі Odyssey дададзена абарона для блакавання падстаноўкі дадзеных пасля ўзгаднення SSL-сеансу (дазваляе блакаваць атакі з выкарыстаннем вышэйадзначаных уразлівасцяў CVE-2021-23214 і CVE-2021-23222). Рэалізавана падтрымка PAM і LDAP. Дададзена інтэграцыя сістэмай маніторынгу Prometheus. Палепшана вылічэнне параметраў статыстыкі для ўліку часу выканання транзакцый і запытаў.
Крыніца: opennet.ru