Opravné aktualizace byly vygenerovány pro všechny podporované větve PostgreSQL: 13.3, 12.7, 11.12, 10.17 a 9.6.22. Aktualizace pro větev 9.6 budou generovány do listopadu 2021, 10 do listopadu 2022, 11 do listopadu 2023, 12 do listopadu 2024, 13 do listopadu 2025. Nové verze odstraňují tři zranitelnosti a opravují nahromaděné chyby.
Chyba zabezpečení CVE-2021-32027 může mít za následek zápis do vyrovnávací paměti mimo hranice v důsledku přetečení celého čísla během výpočtů indexu pole. Manipulací s hodnotami pole v dotazech SQL může útočník s přístupem k provádění dotazů SQL zapisovat jakákoli data do libovolné oblasti paměti procesu a dosáhnout spuštění svého kódu s právy serveru DBMS. Dvě další zranitelnosti (CVE-2021-32028, CVE-2021-32029) vedou k úniku obsahu paměti procesu při manipulaci s požadavky „INSERT... ON CONFLICT... DO UPDATE“ a „UPDATE... RETURNING“.
Opravy bez zranitelnosti zahrnují:
- Eliminujte nesprávné výpočty při provádění "AKTUALIZACE...VRÁCENÍ" k aktualizaci spojených roztrhaných tabulek.
- Oprava selhání příkazu "ALTER TABLE ... ALTER CONSTRAINT", když existují omezení cizího klíče v kombinaci s použitím dělených tabulek.
- Funkce „COMMIT AND CHAIN“ byla vylepšena.
- U nových verzí FreeBSD je nyní režim fdatasync standardně nastaven na metodu thatwal_sync_method.
- Parametr Vacuum_cleanup_index_scale_factor je ve výchozím nastavení zakázán.
- Opraveny úniky paměti, ke kterým dochází při inicializaci připojení TLS.
- Do pg_upgrade byly přidány další kontroly na přítomnost datových typů v uživatelských tabulkách, které nelze upgradovat.
Zdroj: opennet.ru