L'aghjurnamenti currettivi sò stati generati per tutti i rami PostgreSQL supportati: 13.3, 12.7, 11.12, 10.17 è 9.6.22. L'aghjurnamenti per a branche 9.6 seranu generati finu à nuvembre 2021, 10 à nuvembre 2022, 11 à nuvembre 2023, 12 à nuvembre 2024, 13 à nuvembre 2025. I novi versioni eliminanu trè vulnerabili è correggenu l'errori accumulati.
A vulnerabilità CVE-2021-32027 pò esse risultatu in una scrittura di buffer fora di i limiti per via di un overflow integer durante i calculi di l'indice di array. Manipulendu i valori di array in e dumande SQL, un attaccu cù accessu per eseguisce e dumande SQL pò scrive qualsiasi dati in una zona arbitraria di memoria di prucessu è ottene l'esekzione di u so codice cù i diritti di u servitore DBMS. Dui altri vulnerabili (CVE-2021-32028, CVE-2021-32029) portanu à a fuga di u cuntenutu di a memoria di prucessu quandu manipulanu e dumande "INSERT ... ON CONFLICT ... DO UPDATE" è "UPDATE ... RETURNING".
I correzioni di non vulnerabilità includenu:
- Eliminate i calculi sbagliati quandu eseguite "UPDATE... RETURNING" per aghjurnà e tabelle sharded unite.
- Fix "ALTER TABLE ... ALTER CONSTRAINT" fallimentu di cumandamentu quandu ci sò restrizioni di chjave straniera in combinazione cù l'usu di tavule partizionate.
- A funziunalità "COMMIT AND CHAIN" hè stata migliurata.
- Per i novi versioni di FreeBSD, u modu di fdatasync hè avà stabilitu à thatwal_sync_method per difettu.
- U paràmetru vacuum_cleanup_index_scale_factor hè disattivatu per difettu.
- Fixed fughe di memoria chì si verificanu quandu inizializzanu e cunnessione TLS.
- Cuntrolli supplementari sò stati aghjunti à pg_upgrade per a presenza di tippi di dati in e tavule d'utilizatori chì ùn ponu micca esse aghjurnati.
Source: opennet.ru