Korektaj ĝisdatigoj estis generitaj por ĉiuj subtenataj branĉoj de PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 kaj 9.6.24. Eldonaĵo 9.6.24 estos la lasta ĝisdatigo por la branĉo 9.6, kiu estis nuligita. Ĝisdatigoj por branĉo 10 estos generitaj ĝis novembro 2022, 11 - ĝis novembro 2023, 12 - ĝis novembro 2024, 13 - ĝis novembro 2025, 14 - ĝis novembro 2026.
La novaj versioj ofertas pli ol 40 korektojn kaj forigas du vundeblecojn (CVE-2021-23214, CVE-2021-23222) en la servila procezo kaj la libpq-klienta biblioteko. La vundeblecoj permesas atakanton rompi en ĉifritan komunikadkanalon per MITM-atako. La atako ne postulas validan SSL-atestilon kaj povas esti farita kontraŭ sistemoj, kiuj postulas klientan aŭtentigon per atestilo. En la kunteksto de la servilo, la atako permesas al vi anstataŭigi vian propran SQL-demandon en la momento de establi ĉifritan konekton de la kliento al la PostgreSQL-servilo. En la kunteksto de libpq, la vundebleco permesas al atakanto resendi falsan servilan respondon al la kliento. Se kombinitaj, la vundeblecoj permesas eltiri informojn pri pasvorto de kliento aŭ aliaj sentemaj datumoj transdonitaj frue en la konekto.
Aldone, ni povas noti la publikigon de Yandex de nova versio de la prokura servilo Odyssey 1.2, desegnita por konservi aron da malfermitaj konektoj al la PostgreSQL DBMS kaj organizi konsultvojadon. Odyssey subtenas funkcii multoblajn laborprocezojn kun plurfadenaj prizorgantoj, vojigon al la sama servilo kiam kliento rekonektas, kaj la kapablon ligi konektajn poolojn al uzantoj kaj datumbazoj. La kodo estas skribita en C kaj distribuita sub la permesilo BSD.
La nova versio de Odyssey aldonas protekton por bloki datuman anstataŭigon post intertraktado de SSL-sesio (permesas al vi bloki atakojn uzante la supre menciitajn vundeblecojn CVE-2021-23214 kaj CVE-2021-23222). Subteno por PAM kaj LDAP estis efektivigita. Aldonita integriĝo kun la Prometheus monitora sistemo. Plibonigita kalkulo de statistikaj parametroj por respondeci pri transakciaj kaj demandaj ekzekuttempoj.
fonto: opennet.ru