Έχουν δημιουργηθεί διορθωτικές ενημερώσεις για όλους τους υποστηριζόμενους κλάδους PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 και 9.6.24. Η έκδοση 9.6.24 θα είναι η τελευταία ενημέρωση για τον καταργημένο κλάδο 9.6. Οι ενημερώσεις για τον κλάδο 10 θα δημιουργηθούν έως τον Νοέμβριο του 2022, από τις 11 έως τις Νοεμβρίου 2023, από τις 12 έως τις Νοεμβρίου 2024, από τις 13 έως τις Νοεμβρίου 2025, από τις 14 έως τις Νοεμβρίου 2026.
Οι νέες εκδόσεις προσφέρουν πάνω από 40 διορθώσεις και αντιμετωπίζουν δύο ευπάθειες (CVE-2021-23214, CVE-2021-23222) στη διεργασία διακομιστή και στη βιβλιοθήκη-πελάτη libpq. Αυτές οι ευπάθειες επιτρέπουν σε έναν εισβολέα να εισβάλει σε ένα κρυπτογραφημένο κανάλι επικοινωνίας μέσω μιας επίθεσης man-in-the-middle (MITM). Η επίθεση δεν απαιτεί τη σωστή... SSL-certificate και μπορεί να χρησιμοποιηθεί σε συστήματα που απαιτούν έλεγχο ταυτότητας πελάτη χρησιμοποιώντας πιστοποιητικό. Στο περιβάλλον διακομιστή, η επίθεση επιτρέπει την αντικατάσταση ερωτήματος SQL κατά τη δημιουργία μιας κρυπτογραφημένης σύνδεσης πελάτη με τον διακομιστή PostgreSQL. Στο περιβάλλον libpq, η ευπάθεια επιτρέπει σε έναν εισβολέα να επιστρέψει μια ψεύτικη απόκριση διακομιστή στον πελάτη. Όταν συνδυάζονται, αυτά τα τρωτά σημεία επιτρέπουν την εξαγωγή πληροφοριών κωδικού πρόσβασης ή άλλων ευαίσθητων δεδομένων πελάτη που μεταδίδονται νωρίς στη σύνδεση.
Επιπλέον, η Yandex κυκλοφόρησε μια νέα έκδοση του διακομιστή μεσολάβησης Odyssey 1.2, η οποία έχει σχεδιαστεί για να διατηρεί μια ομάδα ανοιχτών συνδέσεων με το DBMS PostgreSQL και να οργανώνει τη δρομολόγηση αιτημάτων. Το Odyssey υποστηρίζει την εκτέλεση πολλαπλών διεργασιών εργασίας με χειριστές πολλαπλών νημάτων και η κατεύθυνση είναι επίσης... υπηρέτης Όταν ένας υπολογιστής-πελάτης επανασυνδεθεί, η δυνατότητα σύνδεσης των συνδέσεων συγκεντρώνεται σε χρήστες και βάσεις δεδομένων. Ο κώδικας είναι γραμμένος σε C και διανέμεται με την άδεια BSD.
Η νέα έκδοση του Odyssey προσθέτει προστασία για τον αποκλεισμό της αντικατάστασης δεδομένων μετά τη διαπραγμάτευση της περιόδου σύνδεσης SSL (σας επιτρέπει να αποκλείετε επιθέσεις χρησιμοποιώντας τα παραπάνω τρωτά σημεία CVE-2021-23214 και CVE-2021-23222). Υλοποιήθηκε υποστήριξη για PAM και LDAP. Προστέθηκε ενοποίηση με το σύστημα παρακολούθησης Prometheus. Βελτιωμένος υπολογισμός των παραμέτρων στατιστικών για τον υπολογισμό του χρόνου εκτέλεσης των συναλλαγών και των ερωτημάτων.
Πηγή: opennet.ru
