Leiðréttingaruppfærslur hafa verið búnar til fyrir allar studdar PostgreSQL útibú: 14.3, 13.7, 12.11, 11.16 og 10.22. 10.x útibúið nálgast lok stuðnings (uppfærslur verða búnar til þar til í nóvember 2022). Útgáfa uppfærslur fyrir 11.x útibúið mun vara til nóvember 2023, 12.x til nóvember 2024, 13.x til nóvember 2025, 14.x til nóvember 2026.
Nýju útgáfurnar bjóða upp á meira en 50 lagfæringar og útrýma varnarleysinu CVE-2022-1552 sem tengist getu til að komast framhjá einangrun við framkvæmd forréttindaaðgerða Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER og pg_amcheck. Árásarmaður með heimild til að búa til ótímabundna hluti í hvaða geymslukerfi sem er getur valdið því að handahófskenndar SQL aðgerðir séu keyrðar með rótarréttindum á meðan forréttindanotandi framkvæmir ofangreindar aðgerðir sem hafa áhrif á hlut árásarmannsins. Sérstaklega getur hagnýting á varnarleysi átt sér stað við sjálfvirka hreinsun á gagnagrunninum þegar sjálfvirkt tómarúmstæki er keyrt.
Ef uppfærslan er ekki möguleg er lausnin fyrir því að loka á málið að slökkva á sjálfvirku tómarúmi og ekki framkvæma REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW og CLUSTER aðgerðir sem rótnotandi, og ekki keyra pg_amcheck eða endurheimta efni úr öryggisafriti sem pg_dump bjó til . Framkvæmd VACUUM er talið öruggt, eins og allar skipunaraðgerðir, svo framarlega sem hlutir sem unnið er með eru í eigu traustra notenda.
Aðrar breytingar á nýju útgáfunum eru meðal annars að uppfæra JIT kóðann til að vinna með LLVM 14, leyfa notkun á database.schema.table sniðmátum í psql, pg_dump og pg_amcheck tólunum, laga vandamál sem leiða til spillingar á GiST vísitölum yfir ltree dálkum, rangt námundun gilda á sniði tímabils sem dregin er út úr bilagögnum, röng tímaáætlunaraðgerð þegar notaðar eru ósamstilltar fjarfyrirspurnir, röng röðun töflulína þegar CLUSTER segðin er notuð á vísitölum með tjáningartengdum lyklum, gagnatap vegna óeðlilegrar uppsagnar strax eftir smíða GiST flokkaða vísitölu, stöðvun við eyðingu skiptingarvísitölu, keppnisástand milli DROP TABLESPACE aðgerðarinnar og eftirlitsstaðarins.
Að auki getum við tekið eftir útgáfu pg_ivm 1.0 viðbótarinnar með innleiðingu á IVM (Incremental View Maintenance) stuðningi fyrir PostgreSQL 14. IVM býður upp á aðra leið til að uppfæra efnislegar skoðanir, skilvirkari ef breytingar hafa áhrif á lítinn hluta útsýnisins. IVM gerir kleift að endurnýja efnislegar skoðanir samstundis með aðeins stigvaxandi breytingum, án þess að endurreikna útsýnið með því að nota REFRESH MATERIALIZED VIEW aðgerðina.
Heimild: opennet.ru