Korjaavat päivitykset on luotu kaikille tuetuille PostgreSQL-haareille: 13.3, 12.7, 11.12, 10.17 ja 9.6.22. Haara 9.6 päivityksiä luodaan marraskuuhun 2021 asti, 10 marraskuuhun 2022 asti, 11 marraskuuhun 2023 asti, 12 marraskuuhun 2024 asti, 13 marraskuuhun 2025 asti. Uudet julkaisut poistavat kolme haavoittuvuutta ja korjaavat kertyneet virheet.
Haavoittuvuus CVE-2021-32027 voi johtaa rajojen ulkopuoliseen puskurin kirjoitukseen, joka johtuu kokonaislukujen ylivuodosta taulukon indeksilaskennan aikana. Manipuloimalla taulukkoarvoja SQL-kyselyissä hyökkääjä, jolla on pääsy SQL-kyselyjen suorittamiseen, voi kirjoittaa mitä tahansa tietoja mielivaltaiselle prosessimuistin alueelle ja suorittaa koodinsa DBMS-palvelimen oikeuksilla. Kaksi muuta haavoittuvuutta (CVE-2021-32028, CVE-2021-32029) johtavat prosessimuistin sisällön vuotamiseen käsiteltäessä "INSERT ... ON CONFLICT ... DO UPDATE" ja "UPDATE ... RETURNING" -pyyntöjä.
Muut kuin haavoittuvuuskorjaukset sisältävät:
- Poista virheelliset laskelmat, kun suoritat "PÄIVITYS...PALAUTUS" päivittääksesi yhdistetyt sirpaloidut taulukot.
- Korjaa "ALTER TABLE ... ALTER CONSTRAINT" -komennon virhe, kun viiteavainrajoituksia käytetään yhdessä osioitujen taulukoiden kanssa.
- "COMMIT AND CHAIN" -toimintoa on parannettu.
- Uusissa FreeBSD-julkaisuissa fdatasync-tila on nyt oletuksena thatwal_sync_method.
- Vacuum_cleanup_index_scale_factor-parametri on oletusarvoisesti poissa käytöstä.
- Korjattu muistivuotoja, joita esiintyy alustettaessa TLS-yhteyksiä.
- Kohteeseen pg_upgrade on lisätty tarkistuksia sellaisten tietotyyppien esiintymisen varalta käyttäjätaulukoissa, joita ei voi päivittää.
Lähde: opennet.ru