עדכון PostgreSQL עם פגיעויות שתוקנו. Odyssey Connection Balancer 1.2 יצא לאור

נוצרו עדכונים מתקנים עבור כל סניפי PostgreSQL הנתמכים: 14.1, 13.5, 12.9, 11.14, 10.19 ו-9.6.24. שחרור 9.6.24 יהיה העדכון האחרון לסניף 9.6, שהופסק. עדכונים לסניף 10 יופקו עד נובמבר 2022, 11 - עד נובמבר 2023, 12 - עד נובמבר 2024, 13 - עד נובמבר 2025, 14 - עד נובמבר 2026.

הגרסאות החדשות מציעות יותר מ-40 תיקונים ומבטלות שתי פגיעויות (CVE-2021-23214, CVE-2021-23222) בתהליך השרת ובספריית הלקוח libpq. נקודות התורפה מאפשרות לתוקף לפרוץ לערוץ תקשורת מוצפן באמצעות מתקפת MITM. ההתקפה אינה דורשת אישור SSL תקף וניתן לבצע אותה כנגד מערכות הדורשות אימות לקוח באמצעות אישור. בהקשר של השרת, המתקפה מאפשרת לך להחליף שאילתת SQL משלך בזמן יצירת חיבור מוצפן מהלקוח לשרת PostgreSQL. בהקשר של libpq, הפגיעות מאפשרת לתוקף להחזיר תגובת שרת מזויפת ללקוח. בשילוב, הפגיעויות מאפשרות לחלץ מידע על סיסמת לקוח או נתונים רגישים אחרים המועברים בשלב מוקדם של החיבור.

בנוסף, אנו יכולים לציין את הפרסום על ידי Yandex של גרסה חדשה של שרת ה-Proxy Odyssey 1.2, שנועדה לשמור על מאגר של חיבורים פתוחים ל-PostgreSQL DBMS ולארגן ניתוב שאילתות. Odyssey תומכת בהפעלת תהליכי עבודה מרובים עם מטפלים מרובי הליכי, ניתוב לאותו שרת כאשר לקוח מתחבר מחדש, ויכולת לקשור מאגרי חיבור למשתמשים ולבסיסי נתונים. הקוד כתוב ב-C ומופץ תחת רישיון BSD.

הגרסה החדשה של Odyssey מוסיפה הגנה לחסימת החלפת נתונים לאחר משא ומתן על הפעלת SSL (מאפשרת לך לחסום התקפות באמצעות הפגיעויות המצוינות לעיל CVE-2021-23214 ו-CVE-2021-23222). תמיכה עבור PAM ו-LDAP יושמה. נוספה אינטגרציה עם מערכת הניטור של פרומתאוס. חישוב משופר של פרמטרים סטטיסטיים כדי להתחשב בזמני ביצוע עסקאות ושאילתות.

מקור: OpenNet.ru