Kõigi toetatud PostgreSQL-i harude jaoks on loodud parandusvärskendused: 14.1, 13.5, 12.9, 11.14, 10.19 ja 9.6.24. Väljalase 9.6.24 on viimane värskendus 9.6 harule, mis on katkestatud. 10. haru värskendusi luuakse kuni novembrini 2022, 11. – novembrini 2023, 12. – kuni novembrini 2024, 13. – kuni novembrini 2025, 14. – kuni novembrini 2026.
Uued versioonid pakuvad rohkem kui 40 parandust ja kõrvaldavad kaks haavatavust (CVE-2021-23214, CVE-2021-23222) serveriprotsessis ja libpq-i klienditeegis. Haavatavus võimaldab ründajal MITM-i rünnaku kaudu sisse murda krüpteeritud sidekanalisse. Rünnak ei nõua kehtivat SSL-sertifikaati ja seda saab läbi viia süsteemide vastu, mis nõuavad kliendi autentimist sertifikaadi abil. Serveri kontekstis võimaldab rünnak asendada oma SQL-päringuga kliendilt PostgreSQL-i serveriga krüptitud ühenduse loomise ajal. Libpq kontekstis võimaldab haavatavus ründajal tagastada kliendile võltsserveri vastuse. Kombineerituna võimaldavad haavatavused eraldada teavet kliendi parooli või muude ühenduse alguses edastatud tundlike andmete kohta.
Lisaks võime märkida, et Yandex avaldas Odyssey 1.2 puhverserveri uue versiooni, mis on loodud PostgreSQL DBMS-iga avatud ühenduste kogumi säilitamiseks ja päringu marsruutimise korraldamiseks. Odyssey toetab mitme tööprotsessi käivitamist mitme lõimega töötlejatega, kliendi taasühendamisel samasse serverisse marsruutimist ning võimalust siduda ühenduskogumeid kasutajate ja andmebaasidega. Kood on kirjutatud C-keeles ja seda levitatakse BSD litsentsi all.
Odyssey uus versioon lisab kaitse andmete asendamise blokeerimiseks pärast SSL-i seansi läbirääkimist (võimaldab blokeerida rünnakuid, kasutades ülalmainitud turvaauke CVE-2021-23214 ja CVE-2021-23222). Rakendatud on PAM-i ja LDAP-i tugi. Lisatud integratsioon Prometheuse seiresüsteemiga. Täiustatud statistika parameetrite arvutamine, et võtta arvesse tehingute ja päringu täitmise aegu.
Allikas: opennet.ru