Leiðréttingaruppfærslur hafa verið búnar til fyrir allar studdar PostgreSQL útibú: 13.3, 12.7, 11.12, 10.17 og 9.6.22. Uppfærslur fyrir útibú 9.6 verða búnar til til nóvember 2021, 10 til nóvember 2022, 11 til nóvember 2023, 12 til nóvember 2024, 13 til nóvember 2025. Nýju útgáfurnar útrýma þremur veikleikum og laga uppsafnaðar villur.
Veikleiki CVE-2021-32027 getur leitt til þess að biðminni skrifist utan marka vegna heiltalnaflæðis við útreikninga á fylkisvísitölu. Með því að vinna með fylkisgildi í SQL fyrirspurnum getur árásarmaður með aðgang til að framkvæma SQL fyrirspurnir skrifað hvaða gögn sem er á handahófskennt svæði vinnsluminni og náð fram keyrslu á kóða sínum með réttindum DBMS netþjónsins. Tveir aðrir veikleikar (CVE-2021-32028, CVE-2021-32029) leiða til leka á innihaldi vinnsluminni þegar unnið er með „INSERT ... ON FLICK ... DO UPDATE“ og „UPDATE ... RETURNING“ beiðnir.
Lagfæringar sem ekki eru varnarlausar innihalda:
- Útrýmdu röngum útreikningum þegar þú framkvæmir "UPDATE...RETURNING" til að uppfæra sameinaðar töflur.
- Lagfærðu "ALTER TABLE ... ALTER CONSTRAINT" skipunarvillu þegar það eru erlenda lyklaþvinganir ásamt notkun skiptra taflna.
- „FYRIR OG KEÐJA“ virkni hefur verið endurbætt.
- Fyrir nýjar útgáfur af FreeBSD er fdatasync hamurinn nú sjálfgefið stilltur á thatwal_sync_method.
- Vacuum_cleanup_index_scale_factor færibreytan er sjálfkrafa óvirk.
- Lagaði minnisleka sem eiga sér stað þegar TLS tengingar eru frumstilltar.
- Viðbótareftirliti hefur verið bætt við pg_upgrade fyrir tilvist gagnategunda í notendatöflum sem ekki er hægt að uppfæra.
Heimild: opennet.ru