Nahimo ang corrective updates para sa tanang gisuportahan nga sanga sa PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 ug 9.6.24. Ang pagpagawas sa 9.6.24 mao ang kataposang update para sa wala na gigamit nga 9.6 nga sanga. Ang mga update para sa branch 10 himoon hangtod Nobyembre 2022, 11 hangtod Nobyembre 2023, 12 hangtod Nobyembre 2024, 13 hangtod Nobyembre 2025, 14 hangtod Nobyembre 2026.
Ang mga bag-ong bersyon nagtanyag labaw pa sa 40 nga mga pag-ayo ug ayohon ang duha nga mga kahuyangan (CVE-2021-23214, CVE-2021-23222) sa proseso sa server ug ang librarya sa kliyente sa libpq. Ang mga kahuyangan nagtugot sa usa ka tig-atake sa pagsulod sa usa ka naka-encrypt nga channel sa komunikasyon pinaagi sa pag-atake sa MITM. Ang pag-atake wala magkinahanglan ug balido nga SSL nga sertipiko ug mahimong ipatuman batok sa mga sistema nga nanginahanglan og panghimatuud sa kliyente nga adunay sertipiko. Sa konteksto sa usa ka server, ang pag-atake nagtugot sa pag-ilis sa kaugalingon nga SQL nga pangutana sa panahon sa pagtukod sa usa ka naka-encrypt nga koneksyon tali sa kliyente ug sa PostgreSQL server. Sa konteksto sa libpq, ang pagkahuyang nagtugot sa usa ka tig-atake nga ibalik ang usa ka tubag sa dummy server sa kliyente. Mag-uban, ang mga kahuyangan nagtugot sa pagkuha sa impormasyon bahin sa password o uban pang sensitibo nga data sa kliyente nga gipadala sa sayo nga yugto sa koneksyon.
Dugang pa, atong mamatikdan ang publikasyon sa Yandex sa usa ka bag-ong bersyon sa Odyssey 1.2 proxy server, nga gidisenyo aron sa pagpadayon sa usa ka pool sa bukas nga mga koneksyon sa PostgreSQL DBMS ug pag-organisar sa pag-ruta sa hangyo. Gisuportahan sa Odyssey ang pagpadagan sa daghang mga proseso sa mamumuo nga adunay daghang mga sinulud nga mga handler, nga nagdirekta sa parehas nga server kung ang kliyente nagkonektar pag-usab, ang abilidad sa pagbugkos sa mga pool sa koneksyon sa mga tiggamit ug mga database. Ang code gisulat sa C ug giapod-apod ubos sa lisensya sa BSD.
Ang bag-ong bersyon sa Odyssey nagdugang proteksyon aron babagan ang data substitution pagkahuman sa negosasyon sa sesyon sa SSL (gitugotan ka nga babagan ang mga pag-atake gamit ang mga kahuyangan sa ibabaw nga CVE-2021-23214 ug CVE-2021-23222). Gipatuman nga suporta alang sa PAM ug LDAP. Gidugang nga panagsama sa Prometheus monitoring system. Gipauswag nga pagkalkula sa mga parameter sa estadistika aron masusi ang oras sa pagpatuman sa mga transaksyon ug mga pangutana.
Source: opennet.ru