Für alle unterstützten PostgreSQL-Zweige wurden korrigierende Updates generiert: 13.3, 12.7, 11.12, 10.17 und 9.6.22. Updates für Branch 9.6 werden bis November 2021, 10 bis November 2022, 11 bis November 2023, 12 bis November 2024, 13 bis November 2025 generiert. Die neuen Releases beseitigen drei Schwachstellen und beheben angesammelte Fehler.
Die Sicherheitslücke CVE-2021-32027 kann aufgrund eines Ganzzahlüberlaufs während der Array-Indexberechnungen zu einem Pufferschreibvorgang außerhalb der Grenzen führen. Durch die Manipulation von Array-Werten in SQL-Abfragen kann ein Angreifer mit Zugriff auf die Ausführung von SQL-Abfragen beliebige Daten in einen beliebigen Bereich des Prozessspeichers schreiben und die Ausführung seines Codes mit den Rechten des DBMS-Servers erreichen. Zwei weitere Schwachstellen (CVE-2021-32028, CVE-2021-32029) führen zum Verlust von Prozessspeicherinhalten bei der Manipulation von „INSERT ... ON CONFLICT ... DO UPDATE“- und „UPDATE ... RETURNING“-Anfragen.
Zu den Fehlerbehebungen, bei denen es sich nicht um Schwachstellen handelt, gehören:
- Beseitigen Sie falsche Berechnungen, wenn Sie „UPDATE...RETURNING“ ausführen, um verbundene Shard-Tabellen zu aktualisieren.
- Behebung eines Befehlsfehlers „ALTER TABLE ... ALTER CONSTRAINT“, wenn Fremdschlüsseleinschränkungen in Kombination mit der Verwendung partitionierter Tabellen vorliegen.
- Die „COMMIT AND CHAIN“-Funktionalität wurde verbessert.
- Für neue Versionen von FreeBSD ist der fdatasync-Modus jetzt standardmäßig auf thatwal_sync_method eingestellt.
- Der Parameter „vacuum_cleanup_index_scale_factor“ ist standardmäßig deaktiviert.
- Speicherlecks behoben, die beim Initialisieren von TLS-Verbindungen auftreten.
- Zu pg_upgrade wurden zusätzliche Prüfungen für das Vorhandensein von Datentypen in Benutzertabellen hinzugefügt, die nicht aktualisiert werden können.
Source: opennet.ru