Ուղղիչ թարմացումներ են ստեղծվել բոլոր աջակցվող PostgreSQL մասնաճյուղերի համար՝ 14.1, 13.5, 12.9, 11.14, 10.19 և 9.6.24: 9.6.24 թողարկումը կլինի 9.6 մասնաճյուղի վերջին թարմացումը, որն այլևս չի աջակցվում: 10 մասնաճյուղի թարմացումները կստեղծվեն մինչև 2022 թվականի նոյեմբերը, 11-ին՝ մինչև 2023 թվականի նոյեմբերը, 12-ին՝ մինչև 2024 թվականի նոյեմբերը, 13-ին՝ մինչև 2025 թվականի նոյեմբերը և 14-ին՝ մինչև 2026 թվականի նոյեմբերը:
Նոր տարբերակները առաջարկում են ավելի քան 40 շտկում և լուծում են սերվերի գործընթացում և libpq հաճախորդի գրադարանում առկա երկու խոցելիություններ (CVE-2021-23214, CVE-2021-23222): Այս խոցելիությունները թույլ են տալիս հարձակվողին ներխուժել կոդավորված հաղորդակցման ալիք՝ մարդ-միջին (MITM) հարձակման միջոցով: Հարձակումը չի պահանջում ճիշտ... SSL-վկայական և կարող է օգտագործվել այն համակարգերի դեմ, որոնք պահանջում են հաճախորդի նույնականացում վկայականի միջոցով: Սերվերի համատեքստում հարձակումը թույլ է տալիս SQL հարցումը փոխարինել PostgreSQL սերվերի հետ կոդավորված հաճախորդի կապի հաստատման ընթացքում: libpq համատեքստում խոցելիությունը թույլ է տալիս հարձակվողին կեղծ սերվերի պատասխան վերադարձնել հաճախորդին: Երբ այս խոցելիությունները համակցվում են, թույլ են տալիս արդյունահանել գաղտնաբառի տեղեկատվությունը կամ հաճախորդի այլ զգայուն տվյալները, որոնք փոխանցվել են կապի վաղ փուլում:
Բացի այդ, Yandex-ը թողարկել է իր Odyssey 1.2 պրոքսի սերվերի նոր տարբերակը, որը նախատեսված է PostgreSQL DBMS-ի հետ բաց կապերի մի ամբողջություն պահպանելու և հարցումների ուղղորդումը կազմակերպելու համար: Odyssey-ն աջակցում է բազմաթիվ աշխատանքային գործընթացների գործարկմանը բազմաթելային մշակիչներով, և ուղղությունը նաև... սերվեր Երբ հաճախորդը վերամիանում է, կապը օգտատերերի և տվյալների բազաների հետ կապելու հնարավորությունը կուտակվում է։ Կոդը գրված է C լեզվով և տարածվում է BSD լիցենզիայով։
Odyssey-ի նոր տարբերակը ավելացնում է SSL սեսիայի բանակցություններից հետո տվյալների փոխարինումը արգելափակելու պաշտպանություն (թույլ է տալիս արգելափակել հարձակումները՝ օգտագործելով վերը նշված CVE-2021-23214 և CVE-2021-23222 խոցելիությունները): Իրականացվել է PAM-ի և LDAP-ի աջակցություն: Ավելացվել է Prometheus մոնիթորինգի համակարգի հետ ինտեգրացիա: Բարելավվել է գործարքների և հարցումների կատարման ժամանակի հաշվառման վիճակագրական պարամետրերի հաշվարկը:
Source: opennet.ru
