Opravné aktualizace byly vygenerovány pro všechny podporované větve PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 a 9.6.24. Verze 9.6.24 bude poslední aktualizací pro zastaralou větev 9.6. Aktualizace pro větev 10 budou generovány do listopadu 2022, 11 do listopadu 2023, 12 do listopadu 2024, 13 do listopadu 2025, 14 do listopadu 2026.
Nové verze nabízejí více než 40 oprav a opravují dvě zranitelnosti (CVE-2021-23214, CVE-2021-23222) v procesu serveru a v klientské knihovně libpq. Chyby zabezpečení umožňují útočníkovi proniknout do šifrovaného komunikačního kanálu prostřednictvím útoku MITM. Útok nevyžaduje platný certifikát SSL a lze jej provést proti systémům, které vyžadují ověření klienta pomocí certifikátu. V kontextu serveru útok umožňuje náhradu vlastního SQL dotazu v okamžiku navázání šifrovaného spojení mezi klientem a PostgreSQL serverem. V kontextu knihovny libpq tato chyba zabezpečení umožňuje útočníkovi vrátit klientovi falešnou odpověď serveru. Společně tyto zranitelnosti umožňují extrakci informací o hesle nebo jiných citlivých klientských datech přenášených v rané fázi připojení.
Kromě toho si můžeme všimnout, že Yandex zveřejnil novou verzi proxy serveru Odyssey 1.2, který je navržen tak, aby udržoval fond otevřených připojení k PostgreSQL DBMS a organizoval směrování požadavků. Odyssey podporuje spouštění více pracovních procesů s vícevláknovými obslužnými rutinami, směrování na stejný server, když se klient znovu připojí, možnost svázat fondy připojení s uživateli a databázemi. Kód je napsán v jazyce C a distribuován pod licencí BSD.
Nová verze Odyssey přidává ochranu pro blokování nahrazování dat po vyjednávání relace SSL (umožňuje blokovat útoky pomocí výše uvedených zranitelností CVE-2021-23214 a CVE-2021-23222). Implementována podpora pro PAM a LDAP. Přidána integrace s monitorovacím systémem Prometheus. Vylepšený výpočet statistických parametrů pro zohlednění doby provádění transakcí a dotazů.
Zdroj: opennet.ru