Nganyari korektif wis digawe kanggo kabeh cabang PostgreSQL didhukung: 13.3, 12.7, 11.12, 10.17 lan 9.6.22. Pembaruan kanggo cabang 9.6 bakal digawe nganti November 2021, 10 nganti November 2022, 11 nganti November 2023, 12 nganti November 2024, 13 nganti November 2025. Rilis anyar ngilangi telung kerentanan lan ndandani kesalahan sing akumulasi.
Kerentanan CVE-2021-32027 bisa nyebabake nulis buffer sing metu saka wates amarga overflow integer sajrone petungan indeks array. Kanthi manipulasi nilai array ing pitakon SQL, penyerang kanthi akses kanggo nglakokake pitakon SQL bisa nulis data apa wae menyang area memori proses sing sewenang-wenang lan entuk eksekusi kode kasebut kanthi hak server DBMS. Loro kerentanan liyane (CVE-2021-32028, CVE-2021-32029) nyebabake kebocoran isi memori proses nalika manipulasi panjalukan "INSERT ... ON CONFLICT ... DO UPDATE" lan "UPDATE ... RETURNING".
Ndandani non-kerentanan kalebu:
- Ngilangi petungan sing salah nalika nindakake "UPDATE...RETURNING" kanggo nganyari tabel sharded gabungan.
- Ndandani "ALTER TABLE ... ALTER CONSTRAINT" gagal printah nalika ana alangan tombol manca ing kombinasi karo nggunakake tabel partitioned.
- Fungsi "COMMIT AND CHAIN" wis apik.
- Kanggo rilis anyar FreeBSD, mode fdatasync saiki disetel menyang thatwal_sync_method minangka standar.
- Parameter vacuum_cleanup_index_scale_factor dipateni kanthi gawan.
- Bocor memori tetep sing kedadeyan nalika miwiti sambungan TLS.
- Priksa tambahan wis ditambahake menyang pg_upgrade kanggo ananΓ© jinis data ing tabel pangguna sing ora bisa diupgrade.
Source: opennet.ru