Kõigi toetatud PostgreSQL-i harude jaoks on loodud parandavad värskendused: 13.3, 12.7, 11.12, 10.17 ja 9.6.22. Haru 9.6 värskendusi luuakse kuni novembrini 2021, 10. kuni novembrini 2022, 11. kuni novembrini 2023, 12. kuni novembrini 2024, 13. kuni novembrini 2025. Uued versioonid kõrvaldavad kolm haavatavust ja parandavad kogunenud vead.
Haavatavus CVE-2021-32027 võib massiiviindeksi arvutamisel täisarvu ülevoolu tõttu põhjustada puhvri piiridest väljakirjutamise. SQL-päringutes massiivi väärtustega manipuleerides saab ründaja, kellel on juurdepääs SQL-päringute täitmiseks, kirjutada mis tahes andmeid protsessimälu suvalisele alale ja saavutada oma koodi täitmise DBMS-serveri õigustega. Kaks muud haavatavust (CVE-2021-32028, CVE-2021-32029) põhjustavad protsessimälu sisu lekkimist, kui manipuleerida taotlustega "INSERT ... ON CONFLICT ... DO UPDATE" ja "UPDATE ... RETURNING".
Mittehaavatavuse parandused hõlmavad järgmist:
- Liidetud tükeldatud tabelite värskendamiseks eemaldage valed arvutused, kui sooritate käsku "VÄRSKENDAMINE...TAGASTAMINE".
- Parandage käsu "ALTER TABLE ... ALTER CONSTRAINT" tõrge, kui koos partitsioonitud tabelite kasutamisega on võõrvõtmepiirangud.
- Funktsiooni "COMMIT AND CHAIN" on täiustatud.
- FreeBSD uute versioonide puhul on fdatasync režiimiks nüüd vaikimisi seatud thatwal_sync_method.
- Parameeter vacuum_cleanup_index_scale_factor on vaikimisi keelatud.
- Parandatud mälulekked, mis ilmnevad TLS-ühenduste lähtestamisel.
- Üksusele pg_upgrade on lisatud täiendavad kontrollid andmetüüpide olemasolu kohta kasutajatabelites, mida ei saa uuendada.
Allikas: opennet.ru