Javító frissítések készültek az összes támogatott PostgreSQL ághoz: 13.3, 12.7, 11.12, 10.17 és 9.6.22. A 9.6-os ág frissítései 2021 novemberéig, 10 novemberéig 2022-ig, 11 novemberéig 2023-ig, 12 novemberéig 2024-ig, 13 novemberéig 2025-ig készülnek. Az új kiadások három sebezhetőséget szüntenek meg, és javítják a felgyülemlett hibákat.
A CVE-2021-32027 biztonsági rés a tömbindex-számítások során bekövetkező egész számok túlcsordulása miatt határokon túli pufferírást eredményezhet. Az SQL-lekérdezések tömbértékeinek manipulálásával az SQL-lekérdezések végrehajtásához hozzáféréssel rendelkező támadó bármilyen adatot írhat a folyamatmemória egy tetszőleges területére, és elérheti kódjának végrehajtását a DBMS-kiszolgáló jogaival. Két másik sebezhetőség (CVE-2021-32028, CVE-2021-32029) a folyamatmemória tartalmának kiszivárgásához vezet az „INSERT ... ON CONFLICT ... DO UPDATE” és „UPDATE ... RETURNING” kérések kezelésekor.
A sérülékenységet nem érintő javítások a következők:
- Szüntesse meg a helytelen számításokat, amikor végrehajtja az „UPDATE...RETURNING” műveletet az egyesített szilánkos táblák frissítéséhez.
- Javítsa ki az "ALTER TABLE ... ALTER CONSTRAINT" parancs hibáját, amikor a particionált táblák használata mellett idegen kulcs kényszerei vannak.
- A „COMMIT AND CHAIN” funkció továbbfejlesztésre került.
- A FreeBSD új kiadásainál az fdatasync mód alapértelmezés szerint a thatwal_sync_method.
- A vacuum_cleanup_index_scale_factor paraméter alapértelmezés szerint le van tiltva.
- Javítva a TLS-kapcsolatok inicializálása során előforduló memóriaszivárgás.
- További ellenőrzések lettek hozzáadva a pg_upgrade-hez a nem frissíthető adattípusok felhasználói táblákban való meglétére vonatkozóan.
Forrás: opennet.ru