Onartutako PostgreSQL adar guztietarako eguneratze zuzentzaileak sortu dira: 14.1, 13.5, 12.9, 11.14, 10.19 eta 9.6.24. 9.6.24 bertsioa zaharkitutako 9.6 adarraren azken eguneratzea izango da. 10. adarraren eguneraketak 2022ko azarora arte sortuko dira, 11tik 2023ra arte, 12tik 2024ra arte, 13tik 2025era arte, 14tik 2026ko azarora arte.
Bertsio berriek 40 konponketa baino gehiago eskaintzen dituzte eta bi ahultasun konpontzen dituzte (CVE-2021-23214, CVE-2021-23222) zerbitzariaren prozesuan eta libpq bezero liburutegian. Ahultasunei esker, erasotzaile bati enkriptatutako komunikazio-kanal batean sartzen da MITM eraso baten bidez. Erasoak ez du baliozko SSL ziurtagiririk behar eta bezeroak ziurtagiri batekin autentifikazioa behar duten sistemen aurka egin daiteke. Zerbitzari baten testuinguruan, erasoak bezeroaren eta PostgreSQL zerbitzariaren arteko konexio enkriptatu bat ezartzeko unean bere SQL kontsulta ordezkatzea ahalbidetzen du. Libpq-ren testuinguruan, ahultasunak erasotzaile bati zerbitzariaren erantzun faltsu bat itzultzeko aukera ematen dio bezeroari. Batera, ahultasunek konexioaren hasierako fasean transmititutako pasahitzari edo beste bezero datu sentikorrei buruzko informazioa ateratzea ahalbidetzen dute.
Gainera, Yandex-ek Odyssey 1.2 proxy zerbitzariaren bertsio berri bat argitaratu duela nabarmendu daiteke, PostgreSQL DBMSrako konexio irekien multzoa mantentzeko eta eskaerak bideratzea antolatzeko diseinatua. Odyssey-k hainbat langile-prozesu exekutatzen ditu hari anitzeko kudeatzaileekin, bezeroa berriro konektatzen denean zerbitzari berera zuzentzen, konexio-taldeak erabiltzaileekin eta datu-baseekin lotzeko gaitasuna. Kodea C-n idatzita dago eta BSD lizentziapean banatzen da.
Odyssey-ren bertsio berriak babesa gehitzen du datuen ordezkapena blokeatzeko SSL saioaren negoziazioaren ondoren (erasoak blokeatzeko aukera ematen du aurreko CVE-2021-23214 eta CVE-2021-23222 ahuleziak erabiliz). PAM eta LDAPentzako euskarria ezarri da. Prometheus monitorizazio sistemarekin integrazioa gehitu da. Estatistika-parametroen kalkulua hobetu da transakzioen eta kontsulten exekuzio-denbora kontuan hartzeko.
Iturria: opennet.ru