L'aghjurnamenti currettivi sò stati generati per tutti i rami PostgreSQL supportati: 14.1, 13.5, 12.9, 11.14, 10.19 è 9.6.24. A versione 9.6.24 serà l'ultima aghjurnazione per a filiera 9.6, chì hè stata interrotta. L'aghjurnamenti per a branche 10 seranu generati finu à nuvembre 2022, 11 - finu à nuvembre 2023, 12 - finu à nuvembre 2024, 13 - finu à nuvembre 2025, 14 - finu à nuvembre 2026.
E nove versioni offrenu più di 40 correzioni è affrontanu duie vulnerabilità (CVE-2021-23214, CVE-2021-23222) in u prucessu di u servitore è in a biblioteca di u cliente libpq. Queste vulnerabilità permettenu à un attaccante di entre in un canale di cumunicazione criptatu via un attaccu man-in-the-middle (MITM). L'attaccu ùn richiede micca a curretta... SSL-certificatu è pò esse adupratu contr'à i sistemi chì richiedenu l'autentificazione di u cliente cù un certificatu. In u cuntestu di u servitore, l'attaccu permette a sustituzione di query SQL durante u stabilimentu di una cunnessione client criptata à u servitore PostgreSQL. In u cuntestu libpq, a vulnerabilità permette à un attaccante di restituisce una risposta di servitore falsa à u cliente. Quandu sò cumminate, queste vulnerabilità permettenu l'estrazione di informazioni di password o altri dati sensibili di u cliente trasmessi à l'iniziu di a cunnessione.
Inoltre, Yandex hà publicatu una nova versione di u so servitore proxy Odyssey 1.2, cuncipitu per mantene un pool di cunnessione aperte à u DBMS PostgreSQL è urganizà u routing di e richieste. Odyssey supporta l'esecuzione di parechji prucessi di travagliu cù gestori multi-threaded, è a direzzione hè ancu servitore Quandu un cliente si ricunnetta, a capacità di ligà i pools di cunnessione à l'utilizatori è à e basi di dati. U codice hè scrittu in C è distribuitu sottu a licenza BSD.
A nova versione di Odyssey aghjusta a prutezzione per bluccà a sustituzione di dati dopu a negoziazione di una sessione SSL (permette di bluccà attacchi utilizendu e vulnerabilità sopra citate CVE-2021-23214 è CVE-2021-23222). U supportu per PAM è LDAP hè statu implementatu. Integrazione aghjunta cù u sistema di monitoraghju Prometheus. Càlculu melloratu di i paràmetri di statistiche per cuntà i tempi di esecuzione di transazzione è dumanda.
Source: opennet.ru
