Se han generado actualizaciones correctivas para todas las ramas de PostgreSQL compatibles: 13.3, 12.7, 11.12, 10.17 y 9.6.22. Las actualizaciones para la rama 9.6 se generarán hasta noviembre de 2021, 10 hasta noviembre de 2022, 11 hasta noviembre de 2023, 12 hasta noviembre de 2024, 13 hasta noviembre de 2025. Las nuevas versiones eliminan tres vulnerabilidades y corrigen errores acumulados.
La vulnerabilidad CVE-2021-32027 puede provocar una escritura en el búfer fuera de los límites debido a un desbordamiento de enteros durante los cálculos del índice de la matriz. Al manipular valores de matriz en consultas SQL, un atacante con acceso para ejecutar consultas SQL puede escribir cualquier dato en un área arbitraria de la memoria de proceso y lograr la ejecución de su código con los derechos del servidor DBMS. Otras dos vulnerabilidades (CVE-2021-32028, CVE-2021-32029) provocan fugas del contenido de la memoria del proceso al manipular las solicitudes “INSERT... ON CONFLICT... DO UPDATE” y “UPDATE... RETURNING”.
Las correcciones que no son de vulnerabilidad incluyen:
- Elimine los cálculos incorrectos al realizar "ACTUALIZAR...REGRESAR" para actualizar las tablas fragmentadas unidas.
- Se corrigió el error del comando "ALTER TABLE... ALTER CONSTRAINT" cuando hay restricciones de clave externa en combinación con el uso de tablas particionadas.
- Se ha mejorado la funcionalidad “COMPROMISO Y CADENA”.
- Para las nuevas versiones de FreeBSD, el modo fdatasync ahora está configurado en thatwal_sync_method de forma predeterminada.
- El parámetro Vacuum_cleanup_index_scale_factor está deshabilitado de forma predeterminada.
- Se corrigieron las pérdidas de memoria que ocurren al inicializar conexiones TLS.
- Se han agregado comprobaciones adicionales a pg_upgrade para detectar la presencia de tipos de datos en tablas de usuario que no se pueden actualizar.
Fuente: opennet.ru