Korrekturupdates wurden für alle unterstützten PostgreSQL-Versionen erstellt: 13.3, 12.7, 11.12, 10.17 und 9.6.22. Updates für die Version 9.6 werden bis November 2021 bereitgestellt, für 10 bis November 2022, für 11 bis November 2023, für 12 bis November 2024 und für 13 bis November 2025. In den neuen Versionen wurden drei Sicherheitsanfälligkeiten beseitigt und verschiedene Fehler behoben.
Die Sicherheitsanfälligkeit CVE-2021-32027 kann zu einem Buffer Overflow führen, der durch ganzzahlige Überläufe bei der Berechnung von Array-Indizes verursacht wird. Ein Angreifer mit Zugriff auf SQL-Anfragen kann durch Manipulation der Array-Werte in SQL-Abfragen beliebige Daten in einen beliebigen Speicherbereich des Prozesses schreiben und damit die Ausführung seines Codes mit den erforderlichen Berechtigungen erreichen. Server Zwei weitere Sicherheitsanfälligkeiten (CVE-2021-32028, CVE-2021-32029) führen zu einem Speicherleck des Prozessinhalts bei der Manipulation von Abfragen "INSERT … ON CONFLICT … DO UPDATE" und "UPDATE … RETURNING".
Unabhängig von den Sicherheitsanfälligkeiten wurden folgende Fehlerbehebungen hervorgehoben:
- Beseitigung falscher Berechnungen bei der Ausführung von "UPDATE … RETURNING" zur Aktualisierung von vereinheitlichten segmentierten Tabellen.
- Fehlerbehebung beim Befehl „ALTER TABLE … ALTER CONSTRAINT“ bei vorhandenen Einschränkungen für Fremdschlüssel in Verbindung mit der Verwendung von segmentierten Tabellen.
- Die Funktionalität „COMMIT AND CHAIN“ wurde aktiviert.
- Für die neuen Versionen von FreeBSD wurde der Standardmodus fdatasync in thatwal_sync_method festgelegt.
- Der Parameter vacuum_cleanup_index_scale_factor ist standardmäßig deaktiviert.
- Speicherlecks, die bei der Initialisierung von TLS-Verbindungen auftraten, wurden behoben.
- In pg_upgrade wurden zusätzliche Überprüfungen auf das Vorhandensein von nicht aktualisierbaren Datentypen in Benutzertabellen hinzugefügt.
Quelle: opennet.ru
