Parandusvärskendused on loodud kõigi toetatud PostgreSQL-i harude jaoks: 13.3, 12.7, 11.12, 10.17 ja 9.6.22. Haru 9.6 värskendused genereeritakse kuni 2021. aasta novembrini, 2022. aasta novembrini, 2023. aasta novembrini, 2024. aasta novembrini ja 2025. aasta novembrini. Uued versioonid parandavad kolm haavatavust ja kogunenud vigu.
Haavatavus CVE-2021-32027 võib massiivi indeksite arvutamisel põhjustada täisarvu ületäitumise tõttu andmete kirjutamise lubatud piiridest välja. SQL-päringutes massiivi väärtustega manipuleerides saab ründaja, kellel on juurdepääs SQL-päringute käivitamiseks, kirjutada suvalisi andmeid suvalisele protsessimälu piirkonnale ja käivitada oma koodi õigustega. server Andmebaasihaldussüsteem. Kaks muud haavatavust (CVE-2021-32028, CVE-2021-32029) põhjustavad protsessimälu lekkeid päringute "INSERT … ON CONFLICT … DO UPDATE" ja "UPDATE … RETURNING" manipuleerimisel.
Haavatavuseta paranduste hulgast saab esile tõsta järgmist:
- Parandatakse valed arvutused ühendatud partitsioonitud tabelite värskendamiseks käsu "UPDATE ... RETURNING" täitmisel.
- Parandus ALTER TABLE ... käsu ALTER CONSTRAINT tõrkele, kui võõrvõtme piirangud esinevad koos partitsioonitud tabelitega.
- Funktsionaalsust „COMMIT AND CHAIN” on täiustatud.
- Uuemad FreeBSD versioonid tagavad nüüd, et fdatasync režiimiks on vaikimisi seatud thatwal_sync_method.
- Parameeter vacuum_cleanup_index_scale_factor on vaikimisi keelatud.
- Parandatud mälulekked, mis tekkisid TLS-ühenduste initsialiseerimisel.
- pg_upgrade sisaldab nüüd kasutajatabelite täiendavaid kontrolle, et tagada nende andmetüüpide olemasolu, mida ei saa uuendada.
Allikas: opennet.ru
