Korrekturaktualisierungen wurden für alle unterstützten PostgreSQL-Zweige generiert: 14.1, 13.5, 12.9, 11.14, 10.19 und 9.6.24. Version 9.6.24 wird das letzte Update für den veralteten 9.6-Zweig sein. Updates für Zweig 10 werden bis November 2022, 11 bis November 2023, 12 bis November 2024, 13 bis November 2025, 14 bis November 2026 generiert.
Die neuen Versionen bieten mehr als 40 Fixes und beheben zwei Schwachstellen (CVE-2021-23214, CVE-2021-23222) im Serverprozess und der libpq-Clientbibliothek. Schwachstellen ermöglichen es einem Angreifer, durch einen MITM-Angriff in einen verschlüsselten Kommunikationskanal einzudringen. Der Angriff erfordert kein gültiges SSL-Zertifikat und kann gegen Systeme durchgeführt werden, die eine Client-Authentifizierung mit einem Zertifikat erfordern. Im Kontext eines Servers ermöglicht der Angriff die Ersetzung einer eigenen SQL-Abfrage zum Zeitpunkt des Aufbaus einer verschlüsselten Verbindung zwischen dem Client und dem PostgreSQL-Server. Im Kontext von libpq ermöglicht die Schwachstelle einem Angreifer, eine Dummy-Serverantwort an den Client zurückzusenden. Zusammen ermöglichen die Schwachstellen die Extraktion von Informationen über das Passwort oder andere sensible Clientdaten, die in einem frühen Stadium der Verbindung übertragen werden.
Darüber hinaus können wir die Veröffentlichung einer neuen Version des Odyssey 1.2-Proxyservers durch Yandex zur Kenntnis nehmen, die darauf ausgelegt ist, einen Pool offener Verbindungen zum PostgreSQL-DBMS aufrechtzuerhalten und das Anforderungsrouting zu organisieren. Odyssey unterstützt die Ausführung mehrerer Arbeitsprozesse mit Multithread-Handlern, die Weiterleitung an denselben Server, wenn der Client erneut eine Verbindung herstellt, sowie die Möglichkeit, Verbindungspools an Benutzer und Datenbanken zu binden. Der Code ist in C geschrieben und wird unter der BSD-Lizenz vertrieben.
Die neue Version von Odyssey bietet zusätzlichen Schutz zum Blockieren der Datenersetzung nach der SSL-Sitzungsaushandlung (ermöglicht das Blockieren von Angriffen mithilfe der oben genannten Schwachstellen CVE-2021-23214 und CVE-2021-23222). Unterstützung für PAM und LDAP implementiert. Integration mit dem Prometheus-Überwachungssystem hinzugefügt. Verbesserte Berechnung von Statistikparametern zur Berücksichtigung der Ausführungszeit von Transaktionen und Abfragen.
Source: opennet.ru