Des mises à jour correctives ont été générées pour toutes les branches PostgreSQL prises en charge : 13.4, 12.8, 11.13, 10.18 et 9.6.23. Les mises à jour pour la branche 9.6 seront générées jusqu'au 2021 novembre 10 jusqu'au 2022 novembre, 11 jusqu'au 2023 novembre, 12 jusqu'au 2024 novembre, 13 jusqu'en novembre 2025.
Les nouvelles versions proposent 75 correctifs et éliminent la vulnérabilité CVE-2021-3677, qui permet de lire le contenu de la mémoire du processus serveur via une requête spécialement conçue. L'attaque peut être menée par n'importe quel utilisateur ayant accès à l'exécution de requêtes SQL. Seules les branches PostgreSQL 11, 12 et 13 sont affectées par le problème. Les variantes d'attaque connues n'affectent pas les configurations avec le paramètre max_worker_processes=0, mais il est possible qu'il existe des variantes qui ne dépendent pas de ce paramètre.
Source: opennet.ru