Korrekciós frissítések készültek az összes támogatott PostgreSQL ághoz: 14.1, 13.5, 12.9, 11.14, 10.19 és 9.6.24. A 9.6.24-es kiadás lesz az utolsó frissítés a 9.6-os ághoz, amely már megszűnt. A 10. ág frissítései 2022. november 11-ig – 2023 novemberéig, 12 – 2024 novemberéig, 13 – 2025 novemberéig, 14 – 2026 novemberéig készülnek.
Az új verziók több mint 40 javítást kínálnak, és kiküszöbölnek két sebezhetőséget (CVE-2021-23214, CVE-2021-23222) a szerverfolyamatban és a libpq ügyfélkönyvtárban. A biztonsági rések lehetővé teszik a támadó számára, hogy MITM támadáson keresztül betörjön egy titkosított kommunikációs csatornába. A támadáshoz nincs szükség érvényes SSL-tanúsítványra, és olyan rendszerek ellen is végrehajtható, amelyek ügyfélhitelesítést igényelnek tanúsítvány használatával. A szerverrel összefüggésben a támadás lehetővé teszi, hogy saját SQL-lekérdezésével helyettesítse a kliens és a PostgreSQL szerver közötti titkosított kapcsolat létrehozása során. A libpq kontextusában a biztonsági rés lehetővé teszi a támadó számára, hogy hamis szerverválaszt küldjön vissza az ügyfélnek. A sérülékenységek kombinálva lehetővé teszik az ügyfél jelszavával vagy a kapcsolat elején továbbított egyéb érzékeny adatokkal kapcsolatos információk kinyerését.
Ezenkívül megjegyezzük, hogy a Yandex közzétette az Odyssey 1.2 proxyszerver új verzióját, amely a PostgreSQL DBMS-hez való nyitott kapcsolatok készletének fenntartására és a lekérdezések útválasztásának megszervezésére szolgál. Az Odyssey támogatja a több munkavégző folyamat futtatását többszálú kezelőkkel, az útválasztást ugyanahhoz a szerverhez, amikor egy kliens újracsatlakozik, valamint a kapcsolatkészletek felhasználókhoz és adatbázisokhoz való hozzárendelését. A kód C nyelven íródott, és a BSD licenc alatt kerül terjesztésre.
Az Odyssey új verziója védelmet ad az adatcsere blokkolásához az SSL-munkamenet egyeztetése után (lehetővé teszi a támadások blokkolását a fent említett CVE-2021-23214 és CVE-2021-23222 biztonsági rések használatával). A PAM és az LDAP támogatása megtörtént. Hozzáadott integráció a Prometheus felügyeleti rendszerrel. A statisztikai paraméterek továbbfejlesztett kiszámítása a tranzakciók és a lekérdezések végrehajtási idejének figyelembevételéhez.
Forrás: opennet.ru