Mae diweddariadau cywirol wedi'u cynhyrchu ar gyfer yr holl ganghennau PostgreSQL a gefnogir: 13.3, 12.7, 11.12, 10.17 a 9.6.22. Bydd diweddariadau ar gyfer cangen 9.6 yn cael eu cynhyrchu tan fis Tachwedd 2021, 10 tan fis Tachwedd 2022, 11 tan fis Tachwedd 2023, 12 tan fis Tachwedd 2024, 13 tan fis Tachwedd 2025. Mae'r datganiadau newydd yn dileu tri bregusrwydd ac yn trwsio gwallau cronedig.
Gall bregusrwydd CVE-2021-32027 arwain at ysgrifennu byffer y tu allan i ffiniau oherwydd gorlif cyfanrif yn ystod cyfrifiadau mynegai arae. Trwy drin gwerthoedd arae mewn ymholiadau SQL, gall ymosodwr sydd â mynediad i weithredu ymholiadau SQL ysgrifennu unrhyw ddata i faes mympwyol o gof proses a chyflawni gweithrediad ei god gyda hawliau'r gweinydd DBMS. Mae dau wendid arall (CVE-2021-32028, CVE-2021-32029) yn arwain at ollwng cynnwys cof proses wrth drin ceisiadau “NODWCH ... AR GWRTHDARO ... GWNEWCH DDIWEDDARIAD” a “DIWEDDARIAD ... DYCHWELYD”.
Mae atebion nad ydynt yn agored i niwed yn cynnwys:
- Dileu cyfrifiadau anghywir wrth berfformio "DIWEDDARIAD...DYCHWELYD" i ddiweddaru tablau wedi'u torri wedi'u cysylltu.
- Atgyweiria methiant gorchymyn "ALTER TABL ... ALTER CONSTRAINT" pan fo cyfyngiadau allweddol tramor ar y cyd â defnyddio tablau rhanedig.
- Mae'r swyddogaeth “COMMIT AND CHAIN” wedi'i wella.
- Ar gyfer datganiadau newydd o FreeBSD, mae'r modd fdatasync bellach wedi'i osod i thatwal_sync_method yn ddiofyn.
- Mae'r paramedr vacuum_cleanup_index_scale_factor wedi'i analluogi yn ddiofyn.
- Gollyngiadau cof sefydlog sy'n digwydd wrth gychwyn cysylltiadau TLS.
- Mae gwiriadau ychwanegol wedi'u hychwanegu at pg_upgrade am bresenoldeb mathau o ddata mewn tablau defnyddwyr na ellir eu huwchraddio.
Ffynhonnell: opennet.ru