कमजोरियों को ठीक करने के साथ PostgreSQL अपडेट

सभी समर्थित PostgreSQL शाखाओं के लिए सुधारात्मक अद्यतन तैयार किए गए हैं: 13.3, 12.7, 11.12, 10.17 और 9.6.22। शाखा 9.6 के लिए अपडेट नवंबर 2021 तक, 10 के लिए नवंबर 2022 तक, 11 के लिए नवंबर 2023 तक, 12 के लिए नवंबर 2024 तक, 13 के लिए नवंबर 2025 तक जेनरेट किए जाएंगे। नई रिलीज़ तीन कमजोरियों को दूर करती हैं और संचित त्रुटियों को ठीक करती हैं।

भेद्यता CVE-2021-32027 के परिणामस्वरूप सरणी सूचकांक गणना के दौरान पूर्णांक अतिप्रवाह के कारण आउट-ऑफ-बाउंड बफर लिखा जा सकता है। SQL क्वेरीज़ में सरणी मानों में हेरफेर करके, SQL क्वेरीज़ को निष्पादित करने की पहुंच वाला एक हमलावर प्रक्रिया मेमोरी के एक मनमाने क्षेत्र में कोई भी डेटा लिख ​​सकता है और DBMS सर्वर के अधिकारों के साथ अपने कोड का निष्पादन प्राप्त कर सकता है। दो अन्य कमजोरियाँ (CVE-2021-32028, CVE-2021-32029) "INSERT ... ON CONFLICT ... DO UPDATE" और "UPDATE ... RETRUNING" अनुरोधों में हेरफेर करते समय प्रक्रिया मेमोरी सामग्री के रिसाव का कारण बनती हैं।

गैर-भेद्यता सुधारों में शामिल हैं:

• सम्मिलित शार्ड तालिकाओं को अद्यतन करने के लिए "अद्यतन...वापसी" करते समय गलत गणनाओं को हटा दें।
• विभाजित तालिकाओं के उपयोग के साथ संयोजन में विदेशी कुंजी बाधाएं होने पर "तालिका बदलें... परिवर्तन बाधा" कमांड विफलता को ठीक करें।
• "कमिट एंड चेन" कार्यक्षमता में सुधार किया गया है।
• FreeBSD की नई रिलीज़ के लिए, fdatasync मोड अब डिफ़ॉल्ट रूप सेthatwal_sync_method पर सेट है।
• वैक्यूम_क्लीनअप_इंडेक्स_स्केल_फैक्टर पैरामीटर डिफ़ॉल्ट रूप से अक्षम है।
• टीएलएस कनेक्शन प्रारंभ करते समय होने वाली मेमोरी लीक को ठीक किया गया।
• उपयोगकर्ता तालिकाओं में डेटा प्रकारों की उपस्थिति के लिए pg_upgrade में अतिरिक्त जांचें जोड़ी गई हैं जिन्हें अपग्रेड नहीं किया जा सकता है।

स्रोत: opennet.ru