Nahimo ang corrective updates para sa tanang gisuportahan nga sanga sa PostgreSQL: 13.3, 12.7, 11.12, 10.17 ug 9.6.22. Ang mga update para sa branch 9.6 mabuhat hangtod Nobyembre 2021, 10 hangtod Nobyembre 2022, 11 hangtod Nobyembre 2023, 12 hangtod Nobyembre 2024, 13 hangtod Nobyembre 2025. Ang mga bag-ong pagpagawas nagwagtang sa tulo ka mga kahuyangan ug nag-ayo sa mga natipon nga mga sayup.
Ang Vulnerability CVE-2021-32027 mahimong moresulta sa out-of-bounds buffer write tungod sa integer overflow atol sa array index kalkulasyon. Pinaagi sa pagmaniobra sa mga kantidad sa array sa mga pangutana sa SQL, ang usa ka tig-atake nga adunay access aron ipatuman ang mga pangutana sa SQL makasulat sa bisan unsang datos sa usa ka arbitraryong lugar sa memorya sa proseso ug makab-ot ang pagpatuman sa iyang code nga adunay mga katungod sa DBMS server. Duha pa ka mga kahuyangan (CVE-2021-32028, CVE-2021-32029) ang hinungdan sa pagtulo sa mga sulud sa memorya sa proseso kung gimaniobra ang mga hangyo nga "INSERT ... ON CONFICT ... DO UPDATE" ug "UPDATE ... RETURNING".
Ang mga pag-ayo nga dili pagkahuyang naglakip sa:
- Kuhaa ang dili husto nga mga kalkulasyon kung maghimo "UPDATE...RETURNING" aron ma-update ang gidugtong nga mga sharded table.
- Ayuhon ang "ALTER TABLE ... ALTER CONSTRAINT" nga kapakyasan sa command kung adunay langyaw nga key constraints inubanan sa paggamit sa partitioned tables.
- Ang βCOMMIT AND CHAINβ functionality gipauswag.
- Para sa mga bag-ong pagpagawas sa FreeBSD, ang fdatasync mode kay gitakda na sa thatwal_sync_method sa default.
- Ang parameter nga vacuum_cleanup_index_scale_factor gi-disable pinaagi sa default.
- Giayo nga mga pagtulo sa memorya nga mahitabo sa pagsugod sa mga koneksyon sa TLS.
- Ang dugang nga mga pagsusi gidugang sa pg_upgrade alang sa presensya sa mga tipo sa datos sa mga lamesa sa tiggamit nga dili ma-upgrade.
Source: opennet.ru