Javító frissítések készültek az összes támogatott PostgreSQL ághoz: 14.3, 13.7, 12.11, 11.16 és 10.22. A 10.x fiók a támogatás végéhez közeledik (a frissítések 2022 novemberéig készülnek). A 11.x ág frissítéseinek kiadása 2023 novemberéig, a 12.x verzió 2024 novemberéig, a 13.x verzió 2025 novemberéig, a 14.x verzió pedig 2026 novemberéig tart.
Az új verziók több mint 50 javítást kínálnak, és megszüntetik a CVE-2022-1552 biztonsági rést, amely az Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER és pg_amcheck privilegizált műveletek végrehajtásának elkülönítésének megkerülésével kapcsolatos. A nem ideiglenes objektumok létrehozására jogosult támadó bármely tárolási sémában tetszőleges SQL-függvények végrehajtását okozhatja root jogosultságokkal, miközben egy jogosult felhasználó a fenti, a támadó objektumát érintő műveleteket hajt végre. A sérülékenység kihasználása különösen az adatbázis automatikus tisztítása során fordulhat elő, amikor az automatikus vákuumkezelő fut.
Ha a frissítés nem lehetséges, a probléma blokkolásának megoldása az, hogy letiltja az automatikus vákuumot, és ne hajtsa végre root felhasználóként a REINDEX, CREATE INDEX, FRESH MATERIALIZED VIEW és CLUSTER műveleteket, és ne futtassa a pg_amcheck fájlt, és ne állítsa vissza a tartalmat a pg_dump által létrehozott biztonsági másolatból. . A VACUUM végrehajtása biztonságosnak tekinthető, akárcsak minden parancsművelet, mindaddig, amíg a feldolgozott objektumok megbízható felhasználók tulajdonában vannak.
Az új kiadások további változtatásai közé tartozik a JIT kód frissítése, hogy az LLVM 14-el működjön, lehetővé téve az database.schema.table sablonok használatát a psql, pg_dump és pg_amcheck segédprogramokban, olyan problémák kijavítása, amelyek a GiST-indexek három oszlopon keresztüli megsérüléséhez vezetnek, helytelen az intervallumadatokból kinyert korszak formátumú értékek kerekítése, az ütemező helytelen működése aszinkron távoli lekérdezések használatakor, a táblázatsorok helytelen rendezése a CLUSTER kifejezés használatakor kifejezés-alapú kulcsokkal rendelkező indexeken, adatvesztés abnormális befejezés miatt közvetlenül azután rendezett GiST index felépítése, holtpont a particionált index törlése közben, versenyfeltétel a DROP TABLESPACE művelet és az ellenőrzőpont között.
Ezenkívül megjegyezzük a pg_ivm 1.0 bővítmény kiadását, amely a PostgreSQL 14 IVM (Incremental View Maintenance) támogatásának megvalósításával jár. Az IVM alternatív módot kínál a megvalósult nézetek frissítésére, amely hatékonyabb, ha a változtatások a nézet egy kis részét érintik. Az IVM lehetővé teszi a materializált nézetek azonnali frissítését, csak növekményes változtatásokkal, anélkül, hogy a nézetet újraszámítaná a MATERIALIZED VIEW művelettel.
Forrás: opennet.ru