Korjaavat päivitykset on luotu kaikille tuetuille PostgreSQL-haareille: 14.1, 13.5, 12.9, 11.14, 10.19 ja 9.6.24. Julkaisu 9.6.24 on viimeinen päivitys 9.6-haaralle, joka on lopetettu. Haara 10 päivityksiä luodaan marraskuuhun 2022 asti, 11. - marraskuuhun 2023 asti, 12 - marraskuuhun 2024 asti, 13 - marraskuuhun 2025 asti, 14 - marraskuuhun 2026 asti.
Uudet versiot tarjoavat yli 40 korjausta ja poistavat kaksi haavoittuvuutta (CVE-2021-23214, CVE-2021-23222) palvelinprosessissa ja libpq-asiakaskirjastossa. Haavoittuvuuksien ansiosta hyökkääjä voi murtautua salattuun viestintäkanavaan MITM-hyökkäyksen kautta. Hyökkäys ei vaadi voimassa olevaa SSL-varmennetta, ja se voidaan suorittaa järjestelmiä vastaan, jotka vaativat asiakkaan todennusta varmenteen avulla. Palvelimen yhteydessä hyökkäys mahdollistaa oman SQL-kyselysi korvaamisen, kun muodostat salatun yhteyden asiakkaalta PostgreSQL-palvelimeen. Libpq:n yhteydessä haavoittuvuus antaa hyökkääjälle mahdollisuuden palauttaa asiakkaalle väärän palvelinvastauksen. Yhdistettynä haavoittuvuudet mahdollistavat tiedon poimimisen asiakkaan salasanasta tai muista yhteyden alkuvaiheessa lähetetyistä arkaluonteisista tiedoista.
Lisäksi voimme huomata, että Yandex on julkaissut uuden version Odyssey 1.2 -välityspalvelimesta, joka on suunniteltu ylläpitämään avoimia yhteyksiä PostgreSQL DBMS:ään ja järjestämään kyselyjen reititystä. Odyssey tukee useiden työprosessien suorittamista monisäikeisillä käsittelijöillä, reititystä samalle palvelimelle, kun asiakas muodostaa yhteyden uudelleen, ja kykyä sitoa yhteysvarantoja käyttäjiin ja tietokantoihin. Koodi on kirjoitettu C-kielellä ja jaettu BSD-lisenssillä.
Odysseyn uusi versio lisää suojan tietojen korvaamisen estoon SSL-istunnon neuvottelemisen jälkeen (voit estää hyökkäykset käyttämällä yllä mainittuja haavoittuvuuksia CVE-2021-23214 ja CVE-2021-23222). PAM- ja LDAP-tuki on otettu käyttöön. Lisätty integrointi Prometheus-valvontajärjestelmään. Parannettu tilastoparametrien laskenta tapahtuma- ja kyselyn suoritusaikojen huomioon ottamiseksi.
Lähde: opennet.ru