Korrigearjende fernijings binne oanmakke foar alle stipe PostgreSQL-tûken: 14.1, 13.5, 12.9, 11.14, 10.19 en 9.6.24. Release 9.6.24 sil de lêste update wêze foar de 9.6 branch, dy't is beëinige. Updates foar branch 10 wurde oanmakke oant novimber 2022, 11 - oant novimber 2023, 12 - oant novimber 2024, 13 - oant novimber 2025, 14 - oant novimber 2026.
De nije ferzjes biede mear dan 40 fixes en eliminearje twa kwetsberens (CVE-2021-23214, CVE-2021-23222) yn it serverproses en de libpq-kliïntbibleteek. De kwetsberens kinne in oanfaller ynbrekke yn in fersifere kommunikaasjekanaal fia in MITM-oanfal. De oanfal hat gjin jildich SSL-sertifikaat nedich en kin útfierd wurde tsjin systemen dy't kliïntautentikaasje fereaskje mei in sertifikaat. Yn 'e kontekst fan' e tsjinner lit de oanfal jo jo eigen SQL-query ferfange op it momint fan it oprjochtsjen fan in fersifere ferbining fan 'e kliïnt nei de PostgreSQL-tsjinner. Yn 'e kontekst fan libpq lit de kwetsberens in oanfaller in falske serverantwurd werombringe nei de kliïnt. As kombinearre, kinne de kwetsberens ynformaasje oer it wachtwurd fan in kliïnt of oare gefoelige gegevens dy't betiid yn 'e ferbining oerdroegen wurde ekstrahearje.
Derneist kinne wy opmerke dat de publikaasje troch Yandex fan in nije ferzje fan 'e Odyssey 1.2 proxy-tsjinner, ûntworpen om in swimbad fan iepen ferbiningen te behâlden nei de PostgreSQL DBMS en query-routing te organisearjen. Odyssey stipet it útfieren fan meardere arbeidersprosessen mei multi-threaded handlers, routing nei deselde tsjinner as in kliïnt opnij ferbynt, en de mooglikheid om ferbiningpools te binen oan brûkers en databases. De koade is skreaun yn C en ferspraat ûnder de BSD-lisinsje.
De nije ferzje fan Odyssey foeget beskerming ta om gegevensferfanging te blokkearjen nei it ûnderhanneljen fan in SSL-sesje (kinne jo oanfallen blokkearje mei de boppeneamde kwetsberens CVE-2021-23214 en CVE-2021-23222). Stipe foar PAM en LDAP is ymplementearre. Yntegraasje tafoege mei it Prometheus-monitorsysteem. Ferbettere berekkening fan statistyske parameters om rekken te hâlden mei transaksje- en query-útfieringstiden.
Boarne: opennet.ru