Korrigerende opdateringer er blevet genereret for alle understøttede PostgreSQL-grene: 14.1, 13.5, 12.9, 11.14, 10.19 og 9.6.24. Udgivelse 9.6.24 vil være den sidste opdatering til den forældede 9.6-gren. Opdateringer for afdeling 10 vil blive genereret indtil november 2022, 11 til november 2023, 12 indtil november 2024, 13 indtil november 2025, 14 indtil november 2026.
De nye versioner tilbyder mere end 40 rettelser og løser to sårbarheder (CVE-2021-23214, CVE-2021-23222) i serverprocessen og libpq-klientbiblioteket. Sårbarheder gør det muligt for en angriber at bryde ind i en krypteret kommunikationskanal gennem et MITM-angreb. Angrebet kræver ikke et gyldigt SSL-certifikat og kan udføres mod systemer, der kræver klientgodkendelse med et certifikat. I forbindelse med en server tillader angrebet substitution af sin egen SQL-forespørgsel på tidspunktet for etablering af en krypteret forbindelse mellem klienten og PostgreSQL-serveren. I forbindelse med libpq tillader sårbarheden en angriber at returnere et dummy-serversvar til klienten. Tilsammen tillader sårbarhederne udtræk af information om adgangskoden eller andre følsomme klientdata, der overføres på et tidligt tidspunkt af forbindelsen.
Derudover kan vi bemærke, at Yandex har udgivet en ny version af Odyssey 1.2-proxyserveren, designet til at opretholde en pulje af åbne forbindelser til PostgreSQL DBMS og organisere anmodningsrouting. Odyssey understøtter at køre flere arbejdsprocesser med multi-threaded handlere, dirigerer til den samme server, når klienten genopretter forbindelse, evnen til at binde forbindelsespuljer til brugere og databaser. Koden er skrevet i C og distribueret under BSD-licensen.
Den nye version af Odyssey tilføjer beskyttelse for at blokere datasubstitution efter SSL-sessionsforhandling (giver dig mulighed for at blokere angreb ved hjælp af de ovennævnte sårbarheder CVE-2021-23214 og CVE-2021-23222). Implementeret support til PAM og LDAP. Tilføjet integration med Prometheus overvågningssystemet. Forbedret beregning af statistikparametre for at tage højde for eksekveringstiden for transaktioner og forespørgsler.
Kilde: opennet.ru