Έχουν δημιουργηθεί διορθωτικές ενημερώσεις για όλους τους υποστηριζόμενους κλάδους PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 και 9.6.24. Η έκδοση 9.6.24 θα είναι η τελευταία ενημέρωση για τον καταργημένο κλάδο 9.6. Οι ενημερώσεις για τον κλάδο 10 θα δημιουργηθούν έως τον Νοέμβριο του 2022, από τις 11 έως τις Νοεμβρίου 2023, από τις 12 έως τις Νοεμβρίου 2024, από τις 13 έως τις Νοεμβρίου 2025, από τις 14 έως τις Νοεμβρίου 2026.
Οι νέες εκδόσεις προσφέρουν περισσότερες από 40 επιδιορθώσεις και διορθώνουν δύο τρωτά σημεία (CVE-2021-23214, CVE-2021-23222) στη διαδικασία διακομιστή και στη βιβλιοθήκη πελάτη libpq. Τα τρωτά σημεία επιτρέπουν σε έναν εισβολέα να εισβάλει σε ένα κρυπτογραφημένο κανάλι επικοινωνίας μέσω μιας επίθεσης MITM. Η επίθεση δεν απαιτεί έγκυρο πιστοποιητικό SSL και μπορεί να πραγματοποιηθεί σε συστήματα που απαιτούν έλεγχο ταυτότητας πελάτη με πιστοποιητικό. Στο πλαίσιο ενός διακομιστή, η επίθεση επιτρέπει την αντικατάσταση του δικού της ερωτήματος SQL τη στιγμή της δημιουργίας μιας κρυπτογραφημένης σύνδεσης μεταξύ του πελάτη και του διακομιστή PostgreSQL. Στο πλαίσιο του libpq, η ευπάθεια επιτρέπει σε έναν εισβολέα να επιστρέψει μια εικονική απάντηση διακομιστή στον πελάτη. Μαζί, τα τρωτά σημεία επιτρέπουν την εξαγωγή πληροφοριών σχετικά με τον κωδικό πρόσβασης ή άλλα ευαίσθητα δεδομένα πελάτη που μεταδίδονται σε πρώιμο στάδιο της σύνδεσης.
Επιπλέον, μπορούμε να σημειώσουμε τη δημοσίευση από την Yandex μιας νέας έκδοσης του διακομιστή μεσολάβησης Odyssey 1.2, που έχει σχεδιαστεί για να διατηρεί μια ομάδα ανοιχτών συνδέσεων στο PostgreSQL DBMS και να οργανώνει τη δρομολόγηση αιτημάτων. Το Odyssey υποστηρίζει την εκτέλεση πολλαπλών διεργασιών εργασίας με χειριστές πολλαπλών νημάτων, που κατευθύνουν στον ίδιο διακομιστή κατά την επανασύνδεση του προγράμματος-πελάτη, τη δυνατότητα σύνδεσης ομάδων σύνδεσης με χρήστες και βάσεις δεδομένων. Ο κωδικός είναι γραμμένος σε C και διανέμεται με την άδεια BSD.
Η νέα έκδοση του Odyssey προσθέτει προστασία για τον αποκλεισμό της αντικατάστασης δεδομένων μετά τη διαπραγμάτευση της περιόδου σύνδεσης SSL (σας επιτρέπει να αποκλείετε επιθέσεις χρησιμοποιώντας τα παραπάνω τρωτά σημεία CVE-2021-23214 και CVE-2021-23222). Υλοποιήθηκε υποστήριξη για PAM και LDAP. Προστέθηκε ενοποίηση με το σύστημα παρακολούθησης Prometheus. Βελτιωμένος υπολογισμός των παραμέτρων στατιστικών για τον υπολογισμό του χρόνου εκτέλεσης των συναλλαγών και των ερωτημάτων.
Πηγή: opennet.ru