Des mises à jour correctives ont été générées pour toutes les branches PostgreSQL prises en charge : 14.1, 13.5, 12.9, 11.14, 10.19 et 9.6.24. La version 9.6.24 sera la dernière mise à jour de la branche 9.6, qui a été abandonnée. Les mises à jour pour la branche 10 seront générées jusqu'au 2022 novembre 11 - jusqu'au 2023 novembre 12 - jusqu'au 2024 novembre 13 - jusqu'au 2025 novembre 14 - jusqu'au novembre 2026.
Les nouvelles versions proposent plus de 40 correctifs et éliminent deux vulnérabilités (CVE-2021-23214, CVE-2021-23222) dans le processus serveur et la bibliothèque client libpq. Les vulnérabilités permettent à un attaquant de pénétrer dans un canal de communication crypté via une attaque MITM. L'attaque ne nécessite pas de certificat SSL valide et peut être menée contre des systèmes qui nécessitent une authentification client à l'aide d'un certificat. Dans le contexte du serveur, l'attaque permet de substituer votre propre requête SQL au moment de l'établissement d'une connexion cryptée du client vers le serveur PostgreSQL. Dans le contexte de libpq, la vulnérabilité permet à un attaquant de renvoyer une fausse réponse du serveur au client. Lorsqu'elles sont combinées, les vulnérabilités permettent d'extraire des informations sur le mot de passe d'un client ou d'autres données sensibles transmises au début de la connexion.
De plus, on peut noter la publication par Yandex d'une nouvelle version du serveur proxy Odyssey 1.2, conçue pour maintenir un pool de connexions ouvertes au SGBD PostgreSQL et organiser le routage des requêtes. Odyssey prend en charge l'exécution de plusieurs processus de travail avec des gestionnaires multithread, le routage vers le même serveur lorsqu'un client se reconnecte et la possibilité de lier des pools de connexions aux utilisateurs et aux bases de données. Le code est écrit en C et distribué sous licence BSD.
La nouvelle version d'Odyssey ajoute une protection pour bloquer la substitution de données après la négociation d'une session SSL (vous permet de bloquer les attaques en utilisant les vulnérabilités CVE-2021-23214 et CVE-2021-23222 mentionnées ci-dessus). La prise en charge de PAM et LDAP a été implémentée. Ajout de l'intégration avec le système de surveillance Prometheus. Calcul amélioré des paramètres statistiques pour tenir compte des temps d’exécution des transactions et des requêtes.
Source: opennet.ru