Korrigerende opdateringer er blevet genereret for alle understøttede PostgreSQL-grene: 13.3, 12.7, 11.12, 10.17 og 9.6.22. Opdateringer til afdeling 9.6 vil blive genereret indtil november 2021, 10 til november 2022, 11 indtil november 2023, 12 indtil november 2024, 13 indtil november 2025. De nye udgivelser eliminerer tre sårbarheder og retter akkumulerede fejl.
Sårbarhed CVE-2021-32027 kan resultere i en bufferskrivning uden for grænserne på grund af et heltalsoverløb under array-indeksberegninger. Ved at manipulere array-værdier i SQL-forespørgsler kan en angriber med adgang til at udføre SQL-forespørgsler skrive alle data til et vilkårligt område af proceshukommelse og opnå eksekvering af sin kode med rettighederne til DBMS-serveren. To andre sårbarheder (CVE-2021-32028, CVE-2021-32029) fører til lækage af proceshukommelsesindhold ved manipulation af "INSERT ... ON CONFLICT ... DO UPDATE" og "UPDATE ... RETURNING"-anmodninger.
Ikke-sårbarhedsrettelser omfatter:
- Eliminer forkerte beregninger, når du udfører "OPDATERING...RETURNERING" for at opdatere sammenføjede shardede tabeller.
- Ret "ALTER TABLE ... ALTER CONSTRAINT" kommandofejl, når der er fremmednøglebegrænsninger i kombination med brugen af partitionerede tabeller.
- Funktionaliteten "COMMIT AND CHAIN" er blevet forbedret.
- For nye udgivelser af FreeBSD er fdatasync-tilstanden nu indstillet til thatwal_sync_method som standard.
- Parameteren vacuum_cleanup_index_scale_factor er deaktiveret som standard.
- Rettede hukommelseslækager, der opstår ved initialisering af TLS-forbindelser.
- Yderligere kontroller er blevet tilføjet til pg_upgrade for tilstedeværelsen af datatyper i brugertabeller, som ikke kan opgraderes.
Kilde: opennet.ru