Für alle unterstützten PostgreSQL-Zweige wurden korrigierende Updates generiert: 13.4, 12.8, 11.13, 10.18 und 9.6.23. Updates für Branch 9.6 werden bis November 2021, 10 bis November 2022, 11 bis November 2023, 12 bis November 2024, 13 bis November 2025 generiert.
Die neuen Versionen bieten 75 Fixes und beseitigen die Schwachstelle CVE-2021-3677, die es ermöglicht, den Inhalt des Speichers des Serverprozesses über eine speziell gestaltete Anfrage zu lesen. Der Angriff kann von jedem Benutzer ausgeführt werden, der Zugriff auf die Ausführung von SQL-Abfragen hat. Betroffen von dem Problem sind lediglich die PostgreSQL-Zweige 11, 12 und 13. Bekannte Angriffsvarianten wirken sich nicht auf Konfigurationen mit der Einstellung max_worker_processes=0 aus, es ist jedoch möglich, dass es Varianten gibt, die nicht von dieser Einstellung abhängen.
Source: opennet.ru