به روز رسانی های اصلاحی برای همه شاخه های پشتیبانی شده PostgreSQL ایجاد شده است: 14.1، 13.5، 12.9، 11.14، 10.19 و 9.6.24. نسخه 9.6.24 آخرین به روز رسانی برای شاخه 9.6 خواهد بود که متوقف شده است. بهروزرسانیهای شاخه 10 تا نوامبر 2022، 11 - تا نوامبر 2023، 12 - تا نوامبر 2024، 13 - تا نوامبر 2025، 14 - تا نوامبر 2026 ایجاد میشود.
نسخه های جدید بیش از 40 اصلاح را ارائه می دهند و دو آسیب پذیری (CVE-2021-23214، CVE-2021-23222) را در فرآیند سرور و کتابخانه مشتری libpq حذف می کنند. این آسیب پذیری ها به مهاجم اجازه می دهد تا از طریق یک حمله MITM به یک کانال ارتباطی رمزگذاری شده نفوذ کند. این حمله به گواهینامه SSL معتبر نیاز ندارد و میتواند علیه سیستمهایی که نیاز به احراز هویت مشتری با استفاده از گواهی دارند، انجام شود. در زمینه سرور، حمله به شما این امکان را می دهد که در زمان برقراری یک اتصال رمزگذاری شده از مشتری به سرور PostgreSQL، پرس و جوی SQL خود را جایگزین کنید. در زمینه libpq، این آسیب پذیری به مهاجم اجازه می دهد تا یک پاسخ سرور جعلی را به مشتری بازگرداند. هنگامی که این آسیبپذیریها با هم ترکیب میشوند، اجازه میدهند اطلاعات مربوط به رمز عبور مشتری یا سایر دادههای حساسی که در اوایل اتصال ارسال شده است استخراج شود.
علاوه بر این، می توانیم به انتشار نسخه جدیدی از سرور پراکسی Odyssey 1.2 توسط Yandex توجه کنیم که برای حفظ مجموعه ای از اتصالات باز به PostgreSQL DBMS و سازماندهی مسیریابی پرس و جو طراحی شده است. Odyssey از اجرای فرآیندهای کارگری متعدد با کنترلرهای چند رشته ای، مسیریابی به همان سرور هنگام اتصال مجدد کلاینت، و توانایی اتصال استخرهای اتصال به کاربران و پایگاه داده پشتیبانی می کند. کد به زبان C نوشته شده و تحت مجوز BSD توزیع شده است.
نسخه جدید Odyssey حفاظتی را برای مسدود کردن جایگزینی داده ها پس از مذاکره در جلسه SSL اضافه می کند (به شما امکان می دهد حملات را با استفاده از آسیب پذیری های ذکر شده CVE-2021-23214 و CVE-2021-23222 مسدود کنید). پشتیبانی از PAM و LDAP اجرا شده است. ادغام با سیستم نظارت پرومتئوس اضافه شده است. محاسبه بهبود یافته پارامترهای آماری برای محاسبه زمان اجرای تراکنش و پرس و جو.
منبع: opennet.ru