Барлық қолдау көрсетілетін PostgreSQL тармақтары үшін түзетуші жаңартулар жасалды: 13.3, 12.7, 11.12, 10.17 және 9.6.22. 9.6 филиалы үшін жаңартулар 2021 жылдың қарашасына дейін, 10 2022 жылдың қарашасына дейін, 11 2023 жылдың қарашасына дейін, 12 2024 жылдың қарашасына дейін, 13 2025 жылдың қарашасына дейін жасалады. Жаңа шығарылымдар үш осалдықты жояды және жинақталған қателерді түзетеді.
CVE-2021-32027 осалдығы жиым индексін есептеу кезінде бүтін санның толып кетуіне байланысты буфердің шектен тыс жазуына әкелуі мүмкін. SQL сұрауларындағы массив мәндерін манипуляциялау арқылы SQL сұрауларын орындауға рұқсаты бар шабуылдаушы процесс жадысының еркін аймағына кез келген деректерді жаза алады және ДҚБЖ серверінің құқықтарымен өз кодының орындалуына қол жеткізе алады. Басқа екі осалдықтар (CVE-2021-32028, CVE-2021-32029) «INSERT ... ON CONFICT ... ЖАҢАРТУ» және «ЖАҢАРТУ ... RETURNING» сұрауларын өңдеу кезінде процесс жады мазмұнының ағып кетуіне әкеледі.
Осалдық емес түзетулер мыналарды қамтиды:
- Біріктірілген ортақ кестелерді жаңарту үшін "ЖАҢАРТУ... ҚАЙТАЛУ" әрекетін орындаған кезде қате есептеулерді жойыңыз.
- Бөлінген кестелерді пайдаланумен бірге сыртқы кілт шектеулері болған кезде "ALTER TABLE ... ALTER COSTRAINT" пәрменінің қатесін түзетіңіз.
- «МІНДЕТТЕУ ЖӘНЕ ТІЗБЕК» функциясы жетілдірілді.
- FreeBSD жаңа шығарылымдары үшін fdatasync режимі енді әдепкі бойынша thatwal_sync_method күйіне орнатылған.
- vacuum_cleanup_index_scale_factor параметрі әдепкі бойынша өшірілген.
- TLS қосылымдарын инициализациялау кезінде орын алатын жадтың ағып кетуі түзетілді.
- Пайдаланушы кестелерінде жаңарту мүмкін емес деректер түрлерінің болуы үшін pg_upgrade қолданбасына қосымша тексерулер қосылды.
Ақпарат көзі: opennet.ru