S'han generat actualitzacions correctives per a totes les branques de PostgreSQL compatibles: 14.1, 13.5, 12.9, 11.14, 10.19 i 9.6.24. La versió 9.6.24 serà l'última actualització de la branca 9.6, que s'ha interromput. Les actualitzacions de la branca 10 es generaran fins al novembre de 2022, 11 - fins a novembre de 2023, 12 - fins a novembre de 2024, 13 - fins a novembre de 2025, 14 - fins a novembre de 2026.
Les noves versions ofereixen més de 40 correccions i eliminen dues vulnerabilitats (CVE-2021-23214, CVE-2021-23222) al procés del servidor i a la biblioteca de client libpq. Les vulnerabilitats permeten a un atacant entrar en un canal de comunicació xifrat mitjançant un atac MITM. L'atac no requereix un certificat SSL vàlid i es pot dur a terme contra sistemes que requereixen autenticació de client mitjançant un certificat. En el context del servidor, l'atac us permet substituir la vostra pròpia consulta SQL en el moment d'establir una connexió xifrada del client al servidor PostgreSQL. En el context de libpq, la vulnerabilitat permet que un atacant torni una resposta del servidor falsa al client. Quan es combinen, les vulnerabilitats permeten extreure informació sobre la contrasenya d'un client o altres dades sensibles transmeses al principi de la connexió.
A més, podem destacar la publicació per part de Yandex d'una nova versió del servidor intermediari Odyssey 1.2, dissenyada per mantenir un conjunt de connexions obertes al SGBD PostgreSQL i organitzar l'encaminament de consultes. L'Odyssey admet l'execució de diversos processos de treball amb controladors de múltiples fils, l'encaminament al mateix servidor quan un client es torna a connectar i la possibilitat d'enllaçar grups de connexions amb usuaris i bases de dades. El codi està escrit en C i distribuït sota la llicència BSD.
La nova versió d'Odyssey afegeix protecció per bloquejar la substitució de dades després de negociar una sessió SSL (permet bloquejar atacs mitjançant les vulnerabilitats CVE-2021-23214 i CVE-2021-23222 esmentades anteriorment). S'ha implementat el suport per a PAM i LDAP. Integració afegida amb el sistema de monitorització Prometheus. Càlcul millorat dels paràmetres estadístics per tenir en compte els temps d'execució de transaccions i consultes.
Font: opennet.ru