Pembaruan korektif telah dibuat untuk semua cabang PostgreSQL yang didukung: 13.3, 12.7, 11.12, 10.17 dan 9.6.22. Pembaruan untuk cabang 9.6 akan dihasilkan hingga November 2021, 10 hingga November 2022, 11 hingga November 2023, 12 hingga November 2024, 13 hingga November 2025. Rilis baru menghilangkan tiga kerentanan dan memperbaiki kesalahan yang terakumulasi.
Kerentanan CVE-2021-32027 dapat mengakibatkan penulisan buffer di luar batas karena integer overflow selama perhitungan indeks array. Dengan memanipulasi nilai array dalam kueri SQL, penyerang yang memiliki akses untuk mengeksekusi kueri SQL dapat menulis data apa pun ke area memori proses yang berubah-ubah dan mencapai eksekusi kodenya dengan hak server DBMS. Dua kerentanan lainnya (CVE-2021-32028, CVE-2021-32029) menyebabkan kebocoran konten memori proses saat memanipulasi permintaan “INSERT… ON CONFLICT… DO UPDATE” dan “UPDATE… RETURNING”.
Perbaikan non-kerentanan meliputi:
- Hilangkan penghitungan yang salah saat melakukan "UPDATE...RETURNING" untuk memperbarui tabel pecahan yang digabungkan.
- Perbaiki kegagalan perintah "ALTER TABLE ... ALTER CONSTRAINT" ketika ada batasan kunci asing dalam kombinasi dengan penggunaan tabel yang dipartisi.
- Fungsionalitas “COMMIT AND CHAIN” telah ditingkatkan.
- Untuk rilis baru FreeBSD, mode fdatasync sekarang diatur ke thatwal_sync_method secara default.
- Parameter vakum_cleanup_index_scale_factor dinonaktifkan secara default.
- Memperbaiki kebocoran memori yang terjadi saat menginisialisasi koneksi TLS.
- Pemeriksaan tambahan telah ditambahkan ke pg_upgrade untuk mengetahui keberadaan tipe data di tabel pengguna yang tidak dapat ditingkatkan.
Sumber: opennet.ru