Mae diweddariadau cywirol wedi'u cynhyrchu ar gyfer yr holl ganghennau PostgreSQL a gefnogir: 14.1, 13.5, 12.9, 11.14, 10.19 a 9.6.24. Rhyddhau 9.6.24 fydd y diweddariad olaf ar gyfer y gangen 9.6 anghymeradwy. Bydd diweddariadau ar gyfer cangen 10 yn cael eu cynhyrchu tan fis Tachwedd 2022, 11 tan fis Tachwedd 2023, 12 tan fis Tachwedd 2024, 13 tan fis Tachwedd 2025, 14 tan fis Tachwedd 2026.
Mae'r fersiynau newydd yn cynnig mwy na 40 o atebion ac yn trwsio dau wendid (CVE-2021-23214, CVE-2021-23222) yn y broses gweinydd a llyfrgell cleientiaid libpq. Mae gwendidau yn caniatΓ‘u i ymosodwr dorri i mewn i sianel gyfathrebu wedi'i hamgryptio trwy ymosodiad MITM. Nid oes angen tystysgrif SSL ddilys ar gyfer yr ymosodiad a gellir ei gynnal yn erbyn systemau sy'n gofyn am ddilysu cleient gyda thystysgrif. Yng nghyd-destun gweinydd, mae'r ymosodiad yn caniatΓ‘u amnewid ei ymholiad SQL ei hun ar adeg sefydlu cysylltiad wedi'i amgryptio rhwng y cleient a gweinydd PostgreSQL. Yng nghyd-destun libpq, mae'r bregusrwydd yn caniatΓ‘u i ymosodwr ddychwelyd ymateb gweinydd ffug i'r cleient. Gyda'i gilydd, mae'r gwendidau yn caniatΓ‘u echdynnu gwybodaeth am y cyfrinair neu ddata cleient sensitif arall a drosglwyddir yn gynnar yn y cysylltiad.
Yn ogystal, gallwn nodi bod Yandex wedi cyhoeddi fersiwn newydd o weinydd dirprwyol Odyssey 1.2, a ddyluniwyd i gynnal cronfa o gysylltiadau agored Γ’ DBMS PostgreSQL a threfnu llwybro ceisiadau. Mae Odyssey yn cefnogi rhedeg prosesau gweithwyr lluosog gyda thrinwyr aml-edau, gan gyfeirio at yr un gweinydd pan fydd y cleient yn ailgysylltu, y gallu i rwymo pyllau cysylltiad Γ’ defnyddwyr a chronfeydd data. Mae'r cod wedi'i ysgrifennu yn C a'i ddosbarthu o dan y drwydded BSD.
Mae'r fersiwn newydd o Odyssey yn ychwanegu amddiffyniad i rwystro amnewid data ar Γ΄l negodi sesiwn SSL (yn caniatΓ‘u ichi rwystro ymosodiadau gan ddefnyddio'r gwendidau uchod CVE-2021-23214 a CVE-2021-23222). Rhoi cymorth ar waith ar gyfer PAM a LDAP. Ychwanegwyd integreiddio Γ’ system fonitro Prometheus. Gwell cyfrifiad o baramedrau ystadegau i gyfrif am amser gweithredu trafodion ac ymholiadau.
Ffynhonnell: opennet.ru