Korrigearjende updates binne oanmakke foar alle stipe PostgreSQL-tûken: 13.3, 12.7, 11.12, 10.17 en 9.6.22. Updates foar branch 9.6 wurde generearre oant novimber 2021, 10 oant novimber 2022, 11 oant novimber 2023, 12 oant novimber 2024, 13 oant novimber 2025. De nije releases eliminearje trije kwetsberens en reparearje accumulearre flaters.
Kwetsberens CVE-2021-32027 kin resultearje yn in bufferskriuwing bûten de grinzen fanwegen in heule getal oerstreaming by berekkeningen fan array-yndeks. Troch arraywearden te manipulearjen yn SQL-queries, kin in oanfaller mei tagong ta it útfieren fan SQL-queries alle gegevens skriuwe nei in willekeurige gebiet fan prosesûnthâld en útfiering fan syn koade berikke mei de rjochten fan 'e DBMS-tsjinner. Twa oare kwetsberens (CVE-2021-32028, CVE-2021-32029) liede ta lekkage fan prosesûnthâldynhâld by it manipulearjen fan "INSERT ... ON CONFLICT ... DO UPDATE" en "UPDATE ... RETURNING" oanfragen.
Fixaasjes foar net-kwetsberens omfetsje:
- Eliminearje ferkearde berekkeningen by it útfieren fan "UPDATE...RETURNING" om oansletten sharded tabellen te aktualisearjen.
- Fix "ALTER TABLE ... ALTER CONSTRAINT" kommando mislearring as der bûtenlânske kaai beheiningen yn kombinaasje mei it brûken fan partitioned tabellen.
- De funksjonaliteit "COMMIT AND CHAIN" is ferbettere.
- Foar nije releases fan FreeBSD is de fdatasync-modus no standert ynsteld op thatwal_sync_method.
- De parameter vacuum_cleanup_index_scale_factor is standert útskeakele.
- Fêste ûnthâldlekkages dy't foarkomme by it inisjalisearjen fan TLS-ferbiningen.
- Oanfoljende kontrôles binne tafoege oan pg_upgrade foar de oanwêzigens fan gegevenstypen yn brûkerstabellen dy't net opwurdearre wurde kinne.
Boarne: opennet.ru