Pembaruan korektif telah dibuat untuk semua cabang PostgreSQL yang didukung: 14.1, 13.5, 12.9, 11.14, 10.19 dan 9.6.24. Rilis 9.6.24 akan menjadi pembaruan terakhir untuk cabang 9.6, yang telah dihentikan. Pembaruan untuk cabang 10 akan dibuat hingga November 2022, 11 - hingga November 2023, 12 - hingga November 2024, 13 - hingga November 2025, 14 - hingga November 2026.
Versi baru menawarkan lebih dari 40 perbaikan dan menghilangkan dua kerentanan (CVE-2021-23214, CVE-2021-23222) dalam proses server dan perpustakaan klien libpq. Kerentanan memungkinkan penyerang membobol saluran komunikasi terenkripsi melalui serangan MITM. Serangan ini tidak memerlukan sertifikat SSL yang valid dan dapat dilakukan terhadap sistem yang memerlukan otentikasi klien menggunakan sertifikat. Dalam konteks server, serangan ini memungkinkan Anda untuk mengganti kueri SQL Anda sendiri pada saat membuat koneksi terenkripsi dari klien ke server PostgreSQL. Dalam konteks libpq, kerentanan memungkinkan penyerang mengembalikan respons server palsu ke klien. Jika digabungkan, kerentanan tersebut memungkinkan informasi tentang kata sandi klien atau data sensitif lainnya yang dikirimkan pada awal koneksi dapat diekstraksi.
Selain itu, kami dapat mencatat publikasi versi baru server proxy Odyssey 1.2 oleh Yandex, yang dirancang untuk memelihara kumpulan koneksi terbuka ke DBMS PostgreSQL dan mengatur perutean kueri. Odyssey mendukung menjalankan beberapa proses pekerja dengan penangan multi-thread, perutean ke server yang sama saat klien terhubung kembali, dan kemampuan untuk mengikat kumpulan koneksi ke pengguna dan database. Kode ini ditulis dalam C dan didistribusikan di bawah lisensi BSD.
Versi baru Odyssey menambahkan perlindungan untuk memblokir substitusi data setelah menegosiasikan sesi SSL (memungkinkan Anda memblokir serangan menggunakan kerentanan CVE-2021-23214 dan CVE-2021-23222 yang disebutkan di atas). Dukungan untuk PAM dan LDAP telah diterapkan. Menambahkan integrasi dengan sistem pemantauan Prometheus. Peningkatan penghitungan parameter statistik untuk memperhitungkan waktu eksekusi transaksi dan kueri.
Sumber: opennet.ru