به روز رسانی های اصلاحی برای تمام شاخه های پشتیبانی شده PostgreSQL ایجاد شده است: 13.3، 12.7، 11.12، 10.17 و 9.6.22. به روز رسانی های شاخه 9.6 تا نوامبر 2021، 10 تا نوامبر 2022، 11 تا نوامبر 2023، 12 تا نوامبر 2024، 13 تا نوامبر 2025 ایجاد می شود. نسخه های جدید سه آسیب پذیری را حذف کرده و خطاهای انباشته شده را برطرف می کنند.
آسیبپذیری CVE-2021-32027 ممکن است منجر به نوشتن بافر خارج از محدوده به دلیل سرریز اعداد صحیح در طول محاسبات شاخص آرایه شود. با دستکاری مقادیر آرایه در کوئری های SQL، یک مهاجم با دسترسی به اجرای کوئری های SQL می تواند هر داده ای را در یک ناحیه دلخواه از حافظه پردازش بنویسد و به اجرای کد خود با حقوق سرور DBMS دست یابد. دو آسیبپذیری دیگر (CVE-2021-32028، CVE-2021-32029) هنگام دستکاری درخواستهای «INSERT ... ON CONFLICT ... DO UPDATE» و «UPDATE ... RETURNING» منجر به نشت محتوای حافظه پردازش میشوند.
رفع غیر آسیب پذیری عبارتند از:
- محاسبات نادرست را هنگام انجام "UDATE...RETURNING" برای به روز رسانی جداول خرد شده متصل حذف کنید.
- هنگامی که محدودیت های کلید خارجی در ترکیب با استفاده از جداول پارتیشن بندی شده وجود دارد، شکست دستور "ALTER TABLE ... ALTER CONSTRAINT" را برطرف کنید.
- عملکرد "تعهد و زنجیره" بهبود یافته است.
- برای نسخه های جدید FreeBSD، حالت fdatasync اکنون به طور پیش فرض روی thatwal_sync_method تنظیم شده است.
- پارامتر vacuum_cleanup_index_scale_factor به طور پیش فرض غیرفعال است.
- رفع نشت حافظه که هنگام راه اندازی اتصالات TLS رخ می دهد.
- بررسیهای اضافی به pg_upgrade برای وجود انواع دادهها در جداول کاربر که قابل ارتقا نیستند اضافه شده است.
منبع: opennet.ru