Generisana su korektivna ažuriranja za sve podržane PostgreSQL grane: 13.3, 12.7, 11.12, 10.17 i 9.6.22. Ažuriranja za granu 9.6 će se generisati do novembra 2021, 10 do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025. Nova izdanja eliminišu tri ranjivosti i popravljaju nagomilane greške.
Ranjivost CVE-2021-32027 može dovesti do pisanja bafera izvan granica zbog prelivanja cijelog broja tokom izračunavanja indeksa niza. Manipulirajući vrijednostima niza u SQL upitima, napadač s pristupom za izvršavanje SQL upita može zapisati bilo koje podatke u proizvoljno područje procesne memorije i postići izvršenje svog koda s pravima DBMS servera. Dvije druge ranjivosti (CVE-2021-32028, CVE-2021-32029) dovode do curenja sadržaja procesne memorije prilikom manipulacije "INSERT ... ON KONFLICT ... DO UPDATE" i "UPDATE ... RETURNING" zahtjevima.
Ispravci neranjivosti uključuju:
- Uklonite pogrešne proračune kada izvodite "UPDATE...RETURNING" za ažuriranje spojenih razdijeljenih tabela.
- Popravite neuspjeh naredbe "ALTER TABLE ... ALTER CONSTRAINT" kada postoje ograničenja stranog ključa u kombinaciji s korištenjem particioniranih tablica.
- Unaprijeđena je funkcionalnost “COMMIT AND CHAIN”.
- Za nova izdanja FreeBSD-a, fdatasync mod je sada po defaultu postavljen na thatwal_sync_method.
- Parametar vacuum_cleanup_index_scale_factor je po defaultu onemogućen.
- Popravljeno je curenje memorije do kojeg dolazi prilikom inicijalizacije TLS veza.
- Dodatne provjere su dodane u pg_upgrade za prisustvo tipova podataka u korisničkim tabelama koji se ne mogu nadograditi.
izvor: opennet.ru