Es wurden Korrekturupdates für alle unterstützten Versionen von PostgreSQL erstellt: 14.1, 13.5, 12.9, 11.14, 10.19 und 9.6.24. Die Version 9.6.24 wird das letzte Update für die 9.6-Reihe sein, deren Unterstützung endet. Updates für die Version 10 werden bis November 2022 bereitgestellt, für 11 bis November 2023, für 12 bis November 2024, für 13 bis November 2025 und für 14 bis November 2026.
In den neuen Versionen wurden über 40 Fehlerkorrekturen vorgeschlagen und zwei Sicherheitsanfälligkeiten (CVE-2021-23214, CVE-2021-23222) im Serverprozess und in der Clientbibliothek libpq behoben. Diese Sicherheitsanfälligkeiten ermöglichen es einem Angreifer, sich in einen verschlüsselten Kommunikationskanal über einen MITM-Angriff einzuschleusen. Für den Angriff ist keine gültige SSL-Zertifikat und kann gegen Systeme durchgeführt werden, die eine Authentifizierung des Clients anhand des Zertifikats erfordern. Im Kontext des Servers ermöglicht der Angriff, die eigene SQL-Abfrage während des Aufbaus einer verschlüsselten Verbindung zwischen dem Client und dem PostgreSQL-Server einzuschleusen. Im Zusammenhang mit libpq erlaubt die Schwachstelle dem Angreifer, dem Client eine gefälschte Serverantwort zurückzugeben. Zusammen ermöglichen die Schwachstellen, Informationen über Passwörter oder andere vertrauliche Daten des Clients, die zu Beginn der Verbindung übertragen werden, zu extrahieren.
Zusätzlich ist die Veröffentlichung einer neuen Version des Proxy-Servers Odyssey 1.2 durch die Firma Yandex erwähnenswert, der dazu dient, einen Pool offener Verbindungen zur PostgreSQL-Datenbank zu unterstützen und die Anfragen zu routen. Odyssey unterstützt den Betrieb mehrerer Arbeitsprozesse mit multithreaded Handlern und ermöglicht zudem Server bei einer erneuten Client-Verbindung die Bindung von Verbindungspools an Nutzer und Datenbanken. Der Code ist in C geschrieben und wird unter der BSD-Lizenz verteilt.
In der neuen Version von Odyssey wurde ein Schutz zur Blockierung von Datenersetzungen nach der Aushandlung von SSL-Sitzungen hinzugefügt (dies ermöglicht das Blockieren von Angriffen, die die oben genannten Schwachstellen CVE-2021-23214 und CVE-2021-23222 ausnutzen). Unterstützung für PAM und LDAP wurde implementiert. Zudem wurde eine Integration mit dem Überwachungssystem Prometheus hinzugefügt. Die Berechnung der Statistikparameter zur Berücksichtigung der Ausführungszeiten von Transaktionen und Anfragen wurde verbessert.
Quelle: opennet.ru
