Xeráronse actualizacións correctivas para todas as ramas de PostgreSQL compatibles: 14.1, 13.5, 12.9, 11.14, 10.19 e 9.6.24. A versión 9.6.24 será a última actualización para a rama 9.6, que foi descontinuada. As actualizacións para a rama 10 xeraranse ata novembro de 2022, a 11 ata novembro de 2023, a 12 ata novembro de 2024, a 13 ata novembro de 2025 e a 14 ata novembro de 2026.
As novas versións ofrecen máis de 40 correccións e abordan dúas vulnerabilidades (CVE-2021-23214, CVE-2021-23222) no proceso do servidor e na biblioteca cliente libpq. Estas vulnerabilidades permiten que un atacante acceda a unha canle de comunicación cifrada mediante un ataque man-in-the-middle (MITM). O ataque non require a configuración correcta. SSL-certificado e pódese usar contra sistemas que requiren autenticación do cliente mediante un certificado. No contexto do servidor, o ataque permite a substitución de consultas SQL durante o establecemento dunha conexión de cliente cifrada ao servidor PostgreSQL. No contexto libpq, a vulnerabilidade permite que un atacante devolva unha resposta falsa do servidor ao cliente. Cando se combinan, estas vulnerabilidades permiten a extracción de información de contrasinal ou outros datos confidenciais do cliente transmitidos ao comezo da conexión.
Ademais, Yandex lanzou unha nova versión do seu servidor proxy Odyssey 1.2, deseñada para manter un conxunto de conexións abertas ao SGBD PostgreSQL e organizar o enrutamento de solicitudes. Odyssey admite a execución de varios procesos de traballo con xestores multifío e a dirección tamén é... servidor Cando un cliente se reconecta, a capacidade de vincular conxuntos de conexións a usuarios e bases de datos. O código está escrito en C e distribúese baixo a licenza BSD.
A nova versión de Odyssey engade protección para bloquear a substitución de datos despois da negociación da sesión SSL (isto axuda a bloquear os ataques que empregan as vulnerabilidades mencionadas anteriormente, CVE-2021-23214 e CVE-2021-23222). Implementouse a compatibilidade con PAM e LDAP. Engadiuse a integración co sistema de monitorización Prometheus. Melloráronse os cálculos estatísticos dos tempos de execución de transaccións e consultas.
Fonte: opennet.ru
