Generirana su popravna ažuriranja za sve podržane PostgreSQL grane: 13.3, 12.7, 11.12, 10.17 i 9.6.22. Ažuriranja za granu 9.6 generirat će se do studenog 2021., 10 do studenog 2022., 11 do studenog 2023., 12 do studenog 2024., 13 do studenog 2025. Nova izdanja uklanjaju tri ranjivosti i ispravljaju akumulirane pogreške.
Ranjivost CVE-2021-32027 može rezultirati upisivanjem u međuspremnik izvan granica zbog prekoračenja cijelog broja tijekom izračuna indeksa polja. Manipulirajući vrijednostima polja u SQL upitima, napadač s pristupom izvršavanju SQL upita može upisati bilo koji podatak u proizvoljno područje procesne memorije i postići izvršenje svog koda s pravima DBMS poslužitelja. Dvije druge ranjivosti (CVE-2021-32028, CVE-2021-32029) dovode do curenja sadržaja memorije procesa prilikom manipuliranja zahtjevima "INSERT ... ON CONFLICT ... DO UPDATE" i "UPDATE ... RETURNING".
Popravci koji nisu ranjivosti uključuju:
- Uklonite netočne izračune prilikom izvođenja "UPDATE...RETURNING" za ažuriranje spojenih razdijeljenih tablica.
- Popravite neuspjeh naredbe "ALTER TABLE ... ALTER CONSTRAINT" kada postoje ograničenja stranog ključa u kombinaciji s korištenjem particioniranih tablica.
- Funkcionalnost "OBVEZI I LANAC" je poboljšana.
- Za nova izdanja FreeBSD-a, način fdatasync sada je prema zadanim postavkama postavljen na thatwal_sync_method.
- Parametar vacuum_cleanup_index_scale_factor onemogućen je prema zadanim postavkama.
- Popravljena su curenja memorije koja se javljaju prilikom pokretanja TLS veza.
- U pg_upgrade dodane su dodatne provjere za prisutnost tipova podataka u korisničkim tablicama koji se ne mogu nadograditi.
Izvor: opennet.ru