Generisana su korektivna ažuriranja za sve podržane PostgreSQL grane: 14.1, 13.5, 12.9, 11.14, 10.19 i 9.6.24. Izdanje 9.6.24 će biti posljednje ažuriranje za zastarjelu granu 9.6. Ažuriranja za granu 10 će se generisati do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025, 14 do novembra 2026.
Nove verzije nude više od 40 popravki i popravljaju dvije ranjivosti (CVE-2021-23214, CVE-2021-23222) u procesu servera i libpq klijentskoj biblioteci. Ranjivosti omogućavaju napadaču da provali u šifrirani komunikacioni kanal putem MITM napada. Napad ne zahtijeva važeći SSL certifikat i može se izvesti protiv sistema koji zahtijevaju autentifikaciju klijenta pomoću certifikata. U kontekstu servera, napad dozvoljava zamjenu vlastitog SQL upita u vrijeme uspostavljanja šifrirane veze između klijenta i PostgreSQL servera. U kontekstu libpq-a, ranjivost omogućava napadaču da vrati lažni odgovor servera klijentu. Zajedno, ranjivosti omogućavaju ekstrakciju informacija o lozinki ili drugim osjetljivim klijentskim podacima koji se prenose u ranoj fazi veze.
Osim toga, možemo primijetiti objavljivanje nove verzije proxy servera Odyssey 1.2 od strane Yandexa, dizajniranog da održava skup otvorenih veza s PostgreSQL DBMS-om i organizira usmjeravanje zahtjeva. Odyssey podržava pokretanje višestrukih radnih procesa s višestrukim rukovateljima, usmjeravanje na isti server kada se klijent ponovo poveže, mogućnost vezivanja skupova veza za korisnike i baze podataka. Kod je napisan u C i distribuira se pod BSD licencom.
Nova verzija Odysseyja dodaje zaštitu za blokiranje zamjene podataka nakon pregovaranja SSL sesije (omogućava vam da blokirate napade koristeći gore navedene ranjivosti CVE-2021-23214 i CVE-2021-23222). Implementirana podrška za PAM i LDAP. Dodata integracija sa Prometheus sistemom za praćenje. Poboljšano izračunavanje statističkih parametara kako bi se uračunalo vrijeme izvršenja transakcija i upita.
izvor: opennet.ru