Mizajou korektif yo te pwodwi pou tout branch PostgreSQL ki sipòte: 14.1, 13.5, 12.9, 11.14, 10.19 ak 9.6.24. Release 9.6.24 pral dènye aktyalizasyon pou branch 9.6 la, ki te sispann. Mizajou pou branch 10 yo pral pwodwi jiska Novanm 2022, 11 - jiska Novanm 2023, 12 - jiska Novanm 2024, 13 - jiska Novanm 2025, 14 - jiska Novanm 2026.
Nouvo vèsyon yo ofri plis pase 40 koreksyon epi elimine de frajilite (CVE-2021-23214, CVE-2021-23222) nan pwosesis sèvè a ak bibliyotèk kliyan libpq la. Vulnerabilite yo pèmèt yon atakè antre nan yon kanal kominikasyon chiffres atravè yon atak MITM. Atak la pa mande pou yon sètifika SSL valab epi yo ka fèt kont sistèm ki mande otantifikasyon kliyan lè l sèvi avèk yon sètifika. Nan kontèks sèvè a, atak la pèmèt ou ranplase pwòp rechèch SQL ou nan moman an nan etabli yon koneksyon chiffres soti nan kliyan an nan sèvè PostgreSQL la. Nan kontèks libpq, vilnerabilite a pèmèt yon atakè retounen yon repons sèvè fos bay kliyan an. Lè yo konbine, frajilite yo pèmèt enfòmasyon sou modpas yon kliyan oswa lòt done sansib transmèt bonè nan koneksyon an yo dwe ekstrè.
Anplis de sa, nou ka sonje piblikasyon Yandex nan yon nouvo vèsyon nan sèvè prokurasyon Odyssey 1.2, ki fèt pou kenbe yon pisin koneksyon ouvè ak DBMS PostgreSQL la epi òganize wout rechèch. Odyssey sipòte kouri plizyè pwosesis travayè ak moun kap okipe milti-threaded, routage nan menm sèvè a lè yon kliyan rekonekte, ak kapasite pou lye pisin koneksyon ak itilizatè yo ak baz done. Kòd la ekri an C epi distribye anba lisans BSD.
Nouvo vèsyon Odyssey a ajoute pwoteksyon pou bloke sibstitisyon done apre negosyasyon yon sesyon SSL (pèmèt ou bloke atak lè l sèvi avèk vilnerabilite CVE-2021-23214 ak CVE-2021-23222 mansyone pi wo a). Sipò pou PAM ak LDAP te aplike. Te ajoute entegrasyon ak sistèm siveyans Prometheus la. Amelyore kalkil paramèt estatistik yo kont pou tranzaksyon ak tan ekzekisyon demann.
Sous: opennet.ru