Xeráronse actualizacións correctivas para todas as ramas de PostgreSQL compatibles: 13.3, 12.7, 11.12, 10.17 e 9.6.22. As actualizacións para a rama 9.6 xeraranse ata novembro de 2021, do 10 ata novembro de 2022, do 11 ata novembro de 2023, do 12 ata novembro de 2024 e do 13 ata novembro de 2025. As novas versións eliminan tres vulnerabilidades e corrixen os erros acumulados.
A vulnerabilidade CVE-2021-32027 pode producir unha escritura fóra dos límites do búfer debido a un desbordamento de enteiros durante os cálculos do índice da matriz. Ao manipular os valores de matriz en consultas SQL, un atacante con acceso para executar consultas SQL pode escribir calquera dato nunha área arbitraria da memoria de proceso e lograr a execución do seu código cos dereitos do servidor DBMS. Outras dúas vulnerabilidades (CVE-2021-32028, CVE-2021-32029) provocan a fuga do contido da memoria do proceso ao manipular as solicitudes "INSERT ... EN CONFLICTO ... DO ACTUALIZACIÓN" e "ACTUALIZACIÓN... DEVOLVER".
As correccións de non vulnerabilidade inclúen:
- Elimine os cálculos incorrectos ao realizar "ACTUALIZAR...VOLVER" para actualizar as táboas fragmentadas unidas.
- Corrixir o erro do comando "ALTER TABLE ... ALTER CONSTRAINT" cando hai restricións de chave estranxeira en combinación co uso de táboas particionadas.
- Mellorouse a funcionalidade "COMMIT AND CHAIN".
- Para as novas versións de FreeBSD, o modo fdatasync agora está configurado como thatwal_sync_method por defecto.
- O parámetro vacuum_cleanup_index_scale_factor está desactivado por defecto.
- Solucionáronse as fugas de memoria que se producían ao inicializar as conexións TLS.
- Engadíronse comprobacións adicionais a pg_upgrade para determinar a presenza de tipos de datos nas táboas de usuarios que non se poden actualizar.
Fonte: opennet.ru