S'han generat actualitzacions correctives per a totes les branques de PostgreSQL compatibles: 14.3, 13.7, 12.11, 11.16 i 10.22. La branca 10.x s'acosta al final del suport (es generaran actualitzacions fins al novembre de 2022). El llançament de les actualitzacions per a la branca 11.x durarà fins al novembre de 2023, 12.x fins al novembre de 2024, 13.x fins al novembre de 2025, 14.x fins al novembre de 2026.
Les noves versions ofereixen més de 50 correccions i eliminen la vulnerabilitat CVE-2022-1552 associada a la capacitat de saltar l'aïllament de l'execució d'operacions privilegiades Autovacuum, REINDEX, CREATE INDEX, FRESH MATERIALIZED VIEW, CLUSTER i pg_amcheck. Un atacant amb autoritat per crear objectes no temporals en qualsevol esquema d'emmagatzematge pot provocar que s'executin funcions SQL arbitràries amb privilegis root mentre un usuari amb privilegis realitza les operacions anteriors que afecten l'objecte de l'atacant. En particular, l'explotació de la vulnerabilitat es pot produir durant la neteja automàtica de la base de dades quan s'executa el controlador de buit automàtic.
Si l'actualització no és possible, la solució alternativa per bloquejar el problema és desactivar l'aspiració automàtica i no realitzar operacions REINDEX, CREATE INDEX, ACTUALITZAR LA VISTA MATERIALIZADA i CLUSTER com a usuari root, i no executar pg_amcheck ni restaurar el contingut d'una còpia de seguretat creada per pg_dump. . L'execució de VACUUM es considera segura, com qualsevol operació d'ordres, sempre que els objectes que es processen siguin propietat d'usuaris de confiança.
Altres canvis a les noves versions inclouen l'actualització del codi JIT per treballar amb LLVM 14, permetent l'ús de plantilles database.schema.table a les utilitats psql, pg_dump i pg_amcheck, solucionant problemes que condueixen a la corrupció dels índexs GiST sobre columnes ltree, incorrectes arrodoniment de valors en el format època extret de dades d'interval, operació incorrecta del programador quan s'utilitzen consultes remotes asíncrones, ordenació incorrecta de les files de la taula quan s'utilitza l'expressió CLUSTER en índexs amb claus basades en expressions, pèrdua de dades a causa d'una terminació anormal immediatament després construcció d'un índex GiST ordenat, bloqueig durant la supressió de l'índex particionat, condició de carrera entre l'operació DROP TABLESPACE i el punt de control.
A més, podem destacar el llançament de l'extensió pg_ivm 1.0 amb la implementació del suport IVM (Manteniment incremental de la vista) per a PostgreSQL 14. IVM ofereix una forma alternativa d'actualitzar vistes materialitzades, més eficaç si els canvis afecten una petita part de la vista. IVM permet que les vistes materialitzades s'actualitzin instantàniament amb només canvis incrementals, sense tornar a calcular la vista mitjançant l'operació REFRESH MATERIALIZED VIEW.
Font: opennet.ru