Актуализация на PostgreSQL с коригирани уязвимости. Одисей версия за балансиране на връзки 1.2

Генерирани са коригиращи актуализации за всички поддържани клонове на PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 и 9.6.24. Версия 9.6.24 ще бъде последната актуализация за остарелия клон 9.6. Актуализациите за клон 10 ще се генерират до ноември 2022 г., 11 до ноември 2023 г., 12 до ноември 2024 г., 13 до ноември 2025 г., 14 до ноември 2026 г.

Новите версии предлагат повече от 40 корекции и коригират две уязвимости (CVE-2021-23214, CVE-2021-23222) в процеса на сървъра и библиотеката на клиента libpq. Уязвимостите позволяват на атакуващ да проникне в криптиран комуникационен канал чрез MITM атака. Атаката не изисква валиден SSL сертификат и може да бъде извършена срещу системи, които изискват клиентско удостоверяване със сертификат. В контекста на сървър атаката позволява подмяна на собствена SQL заявка в момента на установяване на криптирана връзка между клиента и PostgreSQL сървъра. В контекста на libpq, уязвимостта позволява на атакуващ да върне фиктивен сървърен отговор на клиента. Заедно уязвимостите позволяват извличането на информация за паролата или други чувствителни клиентски данни, предавани на ранен етап от връзката.

Освен това можем да отбележим публикуването от Yandex на нова версия на прокси сървъра Odyssey 1.2, предназначен да поддържа набор от отворени връзки към СУБД PostgreSQL и да организира маршрутизиране на заявки. Odyssey поддържа стартиране на множество работни процеси с многонишкови манипулатори, насочване към същия сървър, когато клиентът се свърже отново, възможност за обвързване на пулове за свързване към потребители и бази данни. Кодът е написан на C и се разпространява под BSD лиценз.

Новата версия на Odyssey добавя защита за блокиране на заместване на данни след договаряне на SSL сесия (позволява ви да блокирате атаки, използвайки горните уязвимости CVE-2021-23214 и CVE-2021-23222). Внедрена поддръжка за PAM и LDAP. Добавена е интеграция със системата за наблюдение Prometheus. Подобрено изчисляване на статистически параметри за отчитане на времето за изпълнение на транзакции и заявки.

Източник: opennet.ru