Korrigerende opdateringer er blevet genereret for alle understøttede PostgreSQL-grene: 14.3, 13.7, 12.11, 11.16 og 10.22. 10.x-grenen nærmer sig slutningen af support (opdateringer vil blive genereret indtil november 2022). Udgivelsen af opdateringer til 11.x-grenen varer indtil november 2023, 12.x indtil november 2024, 13.x indtil november 2025, 14.x indtil november 2026.
De nye versioner tilbyder mere end 50 rettelser og eliminerer sårbarheden CVE-2022-1552 forbundet med evnen til at omgå isolering af udførelse af privilegerede operationer Autovacuum, REINDEX, CREATE INDEX, REFRRESH MATERIALIZED VIEW, CLUSTER og pg_amcheck. En angriber med autoritet til at oprette ikke-midlertidige objekter i ethvert lagerskema kan forårsage, at vilkårlige SQL-funktioner udføres med root-rettigheder, mens en privilegeret bruger udfører ovenstående handlinger, der påvirker angriberens objekt. Især kan udnyttelse af sårbarheden forekomme under automatisk rensning af databasen, når autovacuum-handleren udføres.
Hvis opdateringen ikke er mulig, er løsningen for at blokere problemet at deaktivere autovakuum og ikke udføre REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW og CLUSTER-operationer som root-bruger og ikke køre pg_amcheck eller gendanne indhold fra en sikkerhedskopi oprettet af pg_dump . Udførelse af VACUUM anses for sikker, ligesom enhver kommandooperation, så længe de objekter, der behandles, ejes af betroede brugere.
Andre ændringer i de nye udgivelser omfatter opdatering af JIT-koden, så den fungerer med LLVM 14, tillader brug af database.schema.table-skabeloner i hjælpeprogrammerne psql, pg_dump og pg_amcheck, rettelse af problemer, der fører til korruption af GiST-indekser over ltree-kolonner, forkert afrunding af værdier i formatet epoke udtrukket fra intervaldata, forkert planlægningsfunktion ved brug af asynkrone fjernforespørgsler, forkert sortering af tabelrækker ved brug af CLUSTER-udtrykket på indekser med udtryksbaserede nøgler, datatab på grund af en unormal afslutning umiddelbart efter opbygning af et GiST-sorteret indeks, dødvande under sletning af partitioneret indeks, racetilstand mellem DROP TABLESPACE-operationen og kontrolpunktet.
Derudover kan vi bemærke udgivelsen af pg_ivm 1.0-udvidelsen med implementering af IVM (Incremental View Maintenance)-understøttelse for PostgreSQL 14. IVM tilbyder en alternativ måde at opdatere materialiserede visninger på, mere effektiv, hvis ændringer påvirker en lille del af visningen. IVM gør det muligt for materialiserede visninger at blive opdateret øjeblikkeligt med kun trinvise ændringer, uden at genberegne visningen ved hjælp af REFRESH MATERIALISED VIEW-operationen.
Kilde: opennet.ru