Des mises à jour correctives ont été générées pour toutes les branches PostgreSQL prises en charge : 13.3, 12.7, 11.12, 10.17 et 9.6.22. Les mises à jour pour la branche 9.6 seront générées jusqu'au 2021 novembre 10 jusqu'au 2022 novembre, 11 jusqu'au 2023 novembre, 12 jusqu'au 2024 novembre, 13 jusqu'en novembre 2025. Les nouvelles versions éliminent trois vulnérabilités et corrigent les erreurs accumulées.
La vulnérabilité CVE-2021-32027 peut entraîner une écriture hors limites dans le tampon en raison d'un dépassement d'entier lors des calculs d'index de tableau. En manipulant les valeurs du tableau dans les requêtes SQL, un attaquant ayant accès pour exécuter des requêtes SQL peut écrire n'importe quelle donnée dans une zone arbitraire de la mémoire du processus et réaliser l'exécution de son code avec les droits du serveur SGBD. Deux autres vulnérabilités (CVE-2021-32028, CVE-2021-32029) entraînent une fuite du contenu de la mémoire du processus lors de la manipulation des requêtes « INSERT ... ON CONFLICT ... DO UPDATE » et « UPDATE ... RETURNING ».
Les correctifs non liés aux vulnérabilités incluent :
- Éliminez les calculs incorrects lors de l'exécution de "UPDATE...RETURNING" pour mettre à jour les tables fragmentées jointes.
- Correction de l'échec de la commande "ALTER TABLE ... ALTER CONSTRAINT" lorsqu'il existe des contraintes de clé étrangère en combinaison avec l'utilisation de tables partitionnées.
- La fonctionnalité « COMMIT AND CHAIN » a été améliorée.
- Pour les nouvelles versions de FreeBSD, le mode fdatasync est désormais défini par défaut sur thatwal_sync_method.
- Le paramètre vacuum_cleanup_index_scale_factor est désactivé par défaut.
- Correction des fuites de mémoire qui se produisent lors de l'initialisation des connexions TLS.
- Des vérifications supplémentaires ont été ajoutées à pg_upgrade pour la présence de types de données dans les tables utilisateur qui ne peuvent pas être mises à niveau.
Source: opennet.ru