Leiðréttingaruppfærslur hafa verið búnar til fyrir allar studdar PostgreSQL útibú: 14.1, 13.5, 12.9, 11.14, 10.19 og 9.6.24. Útgáfa 9.6.24 verður síðasta uppfærslan fyrir 9.6 útibúið, sem hefur verið hætt. Uppfærslur fyrir útibú 10 verða búnar til til nóvember 2022, 11 - til nóvember 2023, 12 - til nóvember 2024, 13 - til nóvember 2025, 14 - til nóvember 2026.
Nýju útgáfurnar bjóða upp á meira en 40 lagfæringar og útrýma tveimur veikleikum (CVE-2021-23214, CVE-2021-23222) í miðlaraferlinu og libpq biðlarasafninu. Veikleikarnir gera árásarmanni kleift að brjótast inn á dulkóðaða samskiptarás með MITM árás. Árásin krefst ekki gils SSL vottorðs og hægt er að framkvæma hana gegn kerfum sem krefjast auðkenningar viðskiptavinar með því að nota vottorð. Í samhengi við netþjóninn gerir árásin þér kleift að skipta út þinni eigin SQL fyrirspurn þegar þú kemur á dulkóðaðri tengingu frá viðskiptavininum við PostgreSQL netþjóninn. Í samhengi við libpq gerir varnarleysið árásarmanni kleift að skila sviknum miðlaraviðbrögðum til viðskiptavinarins. Þegar þeir eru sameinaðir gera veikleikarnir kleift að draga út upplýsingar um lykilorð viðskiptavinar eða önnur viðkvæm gögn sem send eru snemma í tengingunni.
Að auki getum við tekið eftir útgáfu Yandex á nýrri útgáfu af Odyssey 1.2 umboðsþjóninum, hönnuð til að viðhalda safni opinna tenginga við PostgreSQL DBMS og skipuleggja fyrirspurnaleið. Odyssey styður að keyra mörg verkferla með fjölþráðum meðhöndlum, beina til sama netþjóns þegar viðskiptavinur tengist aftur og getu til að binda tengingarhópa við notendur og gagnagrunna. Kóðinn er skrifaður í C og dreift undir BSD leyfinu.
Nýja útgáfan af Odyssey bætir við vernd til að loka á gagnaskipti eftir að hafa samið um SSL lotu (gerir þér kleift að loka fyrir árásir með því að nota ofangreinda veikleika CVE-2021-23214 og CVE-2021-23222). Stuðningur við PAM og LDAP hefur verið innleiddur. Bætt við samþættingu við Prometheus eftirlitskerfið. Bættur útreikningur á tölfræðibreytum til að taka tillit til viðskipta- og framkvæmdartíma fyrirspurna.
Heimild: opennet.ru