Надграждане на PostgreSQL за коригиране на уязвимостта

Генерирани са коригиращи актуализации за всички поддържани клонове на PostgreSQL: 13.4, 12.8, 11.13, 10.18 и 9.6.23. Актуализациите за клон 9.6 ще се генерират до ноември 2021 г., 10 до ноември 2022 г., 11 до ноември 2023 г., 12 до ноември 2024 г., 13 до ноември 2025 г.

Новите версии предлагат 75 корекции и премахват уязвимостта CVE-2021-3677, която позволява съдържанието на паметта на сървърния процес да бъде прочетено чрез специално изработена заявка. Атаката може да бъде извършена от всеки потребител с достъп за изпълнение на SQL заявки. Само PostgreSQL клонове 11, 12 и 13 са засегнати от проблема.Известните варианти на атака не засягат конфигурации с настройката max_worker_processes=0, но е възможно да има варианти, които не зависят от тази настройка.

Източник: opennet.ru