Sono stati generati aggiornamenti correttivi per tutti i rami PostgreSQL supportati: 13.4, 12.8, 11.13, 10.18 e 9.6.23. Gli aggiornamenti per il ramo 9.6 saranno formati fino a novembre 2021, 10 - fino a novembre 2022, 11 - fino a novembre 2023, 12 - fino a novembre 2024, 13 - fino a novembre 2025.
Le nuove versioni offrono 75 correzioni ed eliminano la vulnerabilità CVE-2021-3677, che consente di leggere il contenuto della memoria del processo del server eseguendo una richiesta appositamente predisposta. L'attacco può essere eseguito da qualsiasi utente con accesso per eseguire query SQL. Il problema riguarda solo i rami PostgreSQL 11, 12 e 13. Le varianti note degli attacchi non influiscono sulle configurazioni con l'impostazione max_worker_processes=0, ma è possibile che vi siano varianti che non dipendono da questa impostazione.
Fonte: opennet.ru