עדכון PostgreSQL עם פגיעויות שתוקנו

נוצרו עדכונים מתקנים עבור כל סניפי PostgreSQL הנתמכים: 13.3, 12.7, 11.12, 10.17 ו-9.6.22. עדכונים עבור סניף 9.6 יופקו עד נובמבר 2021, 10 עד נובמבר 2022, 11 עד נובמבר 2023, 12 עד נובמבר 2024, 13 עד נובמבר 2025. המהדורות החדשות מבטלות שלוש נקודות תורפה ומתקנות שגיאות שהצטברו.

פגיעות CVE-2021-32027 עלולה לגרום לכתיבת מאגר מחוץ לתחום עקב הצפת מספרים שלמים במהלך חישובי אינדקס מערך. על ידי מניפולציה של ערכי מערך בשאילתות SQL, תוקף עם גישה לביצוע שאילתות SQL יכול לכתוב כל נתונים לאזור שרירותי של זיכרון התהליך ולהשיג ביצוע של הקוד שלו עם הזכויות של שרת DBMS. שתי פגיעויות נוספות (CVE-2021-32028, CVE-2021-32029) מובילות לדליפה של תוכן זיכרון התהליך בעת מניפולציה של בקשות "הכנס ... בקונפליקט ... DO UPDATE" ו-"עדכון ... חוזר".

תיקוני אי-פגיעות כוללים:

• הסר חישובים שגויים בעת ביצוע "עדכון...החזרה" כדי לעדכן טבלאות מרוסקות שהצטרפו.
• תקן כשל בפקודה "ALTER TABLE ... ALTER CONSTRAINT" כאשר יש אילוצי מפתח זר בשילוב עם שימוש בטבלאות מחולקות.
• הפונקציונליות של "COMMIT AND CHAIN" שופרה.
• עבור מהדורות חדשות של FreeBSD, מצב fdatasync מוגדר כעת ל-thatwal_sync_method כברירת מחדל.
• הפרמטר vacuum_cleanup_index_scale_factor מושבת כברירת מחדל.
• תיקון דליפות זיכרון המתרחשות בעת אתחול חיבורי TLS.
• בדיקות נוספות נוספו ל-pg_upgrade לנוכחות סוגי נתונים בטבלאות משתמשים שלא ניתן לשדרג.

מקור: OpenNet.ru