Generirana su popravna ažuriranja za sve podržane PostgreSQL grane: 14.1, 13.5, 12.9, 11.14, 10.19 i 9.6.24. Izdanje 9.6.24 bit će posljednje ažuriranje za granu 9.6, koja je ukinuta. Ažuriranja za granu 10 bit će generirana do studenog 2022., 11 - do studenog 2023., 12 - do studenog 2024., 13 - do studenog 2025., 14 - do studenog 2026.
Nove verzije nude više od 40 popravaka i uklanjaju dvije ranjivosti (CVE-2021-23214, CVE-2021-23222) u procesu poslužitelja i libpq klijentskoj biblioteci. Ranjivosti omogućuju napadaču da provali u šifrirani komunikacijski kanal putem MITM napada. Napad ne zahtijeva važeći SSL certifikat i može se izvesti protiv sustava koji zahtijevaju autentifikaciju klijenta pomoću certifikata. U kontekstu poslužitelja, napad vam omogućuje da zamijenite vlastiti SQL upit u trenutku uspostavljanja šifrirane veze od klijenta do PostgreSQL poslužitelja. U kontekstu libpq-a, ranjivost omogućuje napadaču da klijentu vrati lažni odgovor poslužitelja. Kada se kombiniraju, ranjivosti dopuštaju izdvajanje informacija o klijentovoj lozinci ili drugim osjetljivim podacima koji se prenose na početku veze.
Dodatno, možemo primijetiti objavljivanje nove verzije Odyssey 1.2 proxy poslužitelja od strane Yandexa, dizajniranog za održavanje skupa otvorenih veza na PostgreSQL DBMS i organiziranje usmjeravanja upita. Odyssey podržava pokretanje višestrukih radnih procesa s višenitnim rukovateljima, usmjeravanje na isti poslužitelj kada se klijent ponovno poveže i mogućnost vezanja skupova veza s korisnicima i bazama podataka. Kod je napisan u C-u i distribuira se pod BSD licencom.
Nova verzija Odysseyja dodaje zaštitu za blokiranje zamjene podataka nakon pregovaranja SSL sesije (omogućuje blokiranje napada korištenjem gore navedenih ranjivosti CVE-2021-23214 i CVE-2021-23222). Implementirana je podrška za PAM i LDAP. Dodana integracija s nadzornim sustavom Prometheus. Poboljšan izračun statističkih parametara za uzimanje u obzir vremena izvršenja transakcija i upita.
Izvor: opennet.ru