Se han generado actualizaciones correctivas para todas las ramas de PostgreSQL compatibles: 14.1, 13.5, 12.9, 11.14, 10.19 y 9.6.24. La versión 9.6.24 será la última actualización para la rama 9.6, que ha sido descontinuada. Las actualizaciones para la sucursal 10 se generarán hasta noviembre de 2022, 11 - hasta noviembre de 2023, 12 - hasta noviembre de 2024, 13 - hasta noviembre de 2025, 14 - hasta noviembre de 2026.
Las nuevas versiones ofrecen más de 40 correcciones y eliminan dos vulnerabilidades (CVE-2021-23214, CVE-2021-23222) en el proceso del servidor y la biblioteca del cliente libpq. Las vulnerabilidades permiten a un atacante ingresar a un canal de comunicación cifrado mediante un ataque MITM. El ataque no requiere un certificado SSL válido y puede llevarse a cabo contra sistemas que requieren autenticación del cliente mediante un certificado. En el contexto del servidor, el ataque permite sustituir su propia consulta SQL al momento de establecer una conexión cifrada desde el cliente al servidor PostgreSQL. En el contexto de libpq, la vulnerabilidad permite a un atacante devolver una respuesta de servidor falsa al cliente. Cuando se combinan, las vulnerabilidades permiten extraer información sobre la contraseña de un cliente u otros datos confidenciales transmitidos al principio de la conexión.
Además, podemos destacar la publicación por parte de Yandex de una nueva versión del servidor proxy Odyssey 1.2, diseñado para mantener un grupo de conexiones abiertas al DBMS PostgreSQL y organizar el enrutamiento de consultas. Odyssey admite la ejecución de múltiples procesos de trabajo con controladores de subprocesos múltiples, enrutamiento al mismo servidor cuando un cliente se vuelve a conectar y la capacidad de vincular grupos de conexiones a usuarios y bases de datos. El código está escrito en C y distribuido bajo licencia BSD.
La nueva versión de Odyssey agrega protección para bloquear la sustitución de datos después de negociar una sesión SSL (le permite bloquear ataques utilizando las vulnerabilidades CVE-2021-23214 y CVE-2021-23222 mencionadas anteriormente). Se ha implementado soporte para PAM y LDAP. Se agregó integración con el sistema de monitoreo Prometheus. Cálculo mejorado de parámetros estadísticos para tener en cuenta los tiempos de ejecución de transacciones y consultas.
Fuente: opennet.ru