Nganyari korektif wis digawe kanggo kabeh cabang PostgreSQL sing didhukung: 14.1, 13.5, 12.9, 11.14, 10.19 lan 9.6.24. Rilis 9.6.24 bakal dadi update pungkasan kanggo cabang 9.6, sing wis mandheg. Pembaruan kanggo cabang 10 bakal digawe nganti November 2022, 11 - nganti November 2023, 12 - nganti November 2024, 13 - nganti November 2025, 14 - nganti November 2026.
Versi anyar nawakake luwih saka 40 ndandani lan ngilangi rong kerentanan (CVE-2021-23214, CVE-2021-23222) ing proses server lan perpustakaan klien libpq. Kerentanan kasebut ngidini panyerang mlebu saluran komunikasi sing dienkripsi liwat serangan MITM. Serangan kasebut ora mbutuhake sertifikat SSL sing bener lan bisa ditindakake marang sistem sing mbutuhake otentikasi klien nggunakake sertifikat. Ing konteks server, serangan kasebut ngidini sampeyan ngganti pitakon SQL dhewe nalika nggawe sambungan sing dienkripsi saka klien menyang server PostgreSQL. Ing konteks libpq, kerentanan ngidini panyerang ngasilake respon server palsu menyang klien. Yen digabungake, kerentanan ngidini informasi babagan sandhi klien utawa data sensitif liyane sing ditularake ing wiwitan sambungan bisa diekstrak.
Kajaba iku, kita bisa nyathet publikasi dening Yandex versi anyar saka server proxy Odyssey 1.2, dirancang kanggo njaga blumbang sambungan mbukak menyang PostgreSQL DBMS lan ngatur nuntun pitakonan. Odyssey ndhukung mlaku sawetara pangolahan buruh karo handler multi-Utas, nuntun menyang server padha nalika klien reconnects, lan kemampuan kanggo ikatan pools sambungan kanggo pangguna lan database. Kode kasebut ditulis ing C lan disebarake miturut lisensi BSD.
Versi anyar Odyssey nambah pangayoman kanggo mblokir substitusi data sawise rembugan sesi SSL (ngidini sampeyan kanggo mblokir serangan nggunakake kerentanan ndhuwur-kasebut CVE-2021-23214 lan CVE-2021-23222). Dhukungan kanggo PAM lan LDAP wis ditindakake. Ditambahake integrasi karo sistem pemantauan Prometheus. Ngapikake pitungan paramèter statistik kanggo ngitung wektu eksekusi transaksi lan query.
Source: opennet.ru