Sono stati generati aggiornamenti correttivi per tutti i rami PostgreSQL supportati: 14.1, 13.5, 12.9, 11.14, 10.19 e 9.6.24. La versione 9.6.24 sarà l'ultimo aggiornamento per il ramo 9.6, che è stato interrotto. Gli aggiornamenti per il ramo 10 verranno generati fino a novembre 2022, 11 - fino a novembre 2023, 12 - fino a novembre 2024, 13 - fino a novembre 2025, 14 - fino a novembre 2026.
Le nuove versioni offrono più di 40 correzioni ed eliminano due vulnerabilità (CVE-2021-23214, CVE-2021-23222) nel processo server e nella libreria client libpq. Le vulnerabilità consentono a un utente malintenzionato di penetrare in un canale di comunicazione crittografato attraverso un attacco MITM. L'attacco non richiede un certificato SSL valido e può essere effettuato contro sistemi che richiedono l'autenticazione del client tramite un certificato. Nel contesto del server, l'attacco consente di sostituire la propria query SQL nel momento in cui viene stabilita una connessione crittografata dal client al server PostgreSQL. Nel contesto di libpq, la vulnerabilità consente a un utente malintenzionato di restituire al client una risposta del server fasulla. Se combinate, le vulnerabilità consentono di estrarre informazioni sulla password di un cliente o altri dati sensibili trasmessi nelle prime fasi della connessione.
Inoltre, possiamo notare la pubblicazione da parte di Yandex di una nuova versione del server proxy Odyssey 1.2, progettato per mantenere un pool di connessioni aperte al DBMS PostgreSQL e organizzare l'instradamento delle query. Odyssey supporta l'esecuzione di più processi di lavoro con gestori multi-thread, l'instradamento allo stesso server quando un client si riconnette e la capacità di associare pool di connessioni a utenti e database. Il codice è scritto in C e distribuito sotto licenza BSD.
La nuova versione di Odyssey aggiunge protezione per bloccare la sostituzione dei dati dopo aver negoziato una sessione SSL (consente di bloccare gli attacchi utilizzando le vulnerabilità sopra menzionate CVE-2021-23214 e CVE-2021-23222). È stato implementato il supporto per PAM e LDAP. Aggiunta l'integrazione con il sistema di monitoraggio Prometheus. Calcolo migliorato dei parametri statistici per tenere conto dei tempi di esecuzione delle transazioni e delle query.
Fonte: opennet.ru