サポートされているすべての PostgreSQL ブランチ (13.3、12.7、11.12、10.17、および 9.6.22) に対して修正更新が生成されました。 ブランチ 9.6 の更新は、2021 年 10 月まで、2022 は 11 年 2023 月まで、12 は 2024 年 13 月まで、2025 は XNUMX 年 XNUMX 月まで、XNUMX は XNUMX 年 XNUMX 月まで生成されます。 新しいリリースでは XNUMX つの脆弱性が解消され、蓄積されたエラーが修正されています。
脆弱性 CVE-2021-32027 により、配列インデックス計算中の整数オーバーフローにより境界外のバッファ書き込みが発生する可能性があります。 SQL クエリを実行するアクセス権を持つ攻撃者は、SQL クエリの配列値を操作することで、プロセス メモリの任意の領域にデータを書き込み、DBMS サーバーの権限でコードを実行することができます。 他の 2021 つの脆弱性 (CVE-32028-2021、CVE-32029-XNUMX) により、「INSERT ... ON CONFLICT ... DO UPDATE」および「UPDATE ... RETURNING」リクエストを操作するときにプロセス メモリの内容が漏洩します。
脆弱性以外の修正には次のものが含まれます。
- 結合されたシャードテーブルを更新するために「UPDATE...RETURNING」を実行するときの誤った計算を排除します。
- パーティション テーブルの使用と組み合わせて外部キー制約がある場合の「ALTER TABLE ... ALTER CONSTRAINT」コマンドの失敗を修正しました。
- 「COMMIT AND CHAIN」機能が改善されました。
- FreeBSD の新しいリリースでは、fdatasync モードがデフォルトで thatwal_sync_method に設定されるようになりました。
- デフォルトでは、vacuum_cleanup_index_scale_factor パラメータは無効になっています。
- TLS 接続の初期化時に発生するメモリ リークを修正しました。
- アップグレードできないユーザーテーブルにデータ型が存在するかどうかを確認する追加のチェックが pg_upgrade に追加されました。
出所: オープンネット.ru