Барлық қолдау көрсетілетін PostgreSQL тармақтары үшін түзетуші жаңартулар жасалды: 14.1, 13.5, 12.9, 11.14, 10.19 және 9.6.24. 9.6.24 шығарылымы тоқтатылған 9.6 филиалының соңғы жаңартуы болады. 10-тармақ бойынша жаңартулар 2022 жылдың қарашасына дейін, 11 - 2023 жылдың қарашасына дейін, 12 - 2024 жылдың қарашасына дейін, 13 - 2025 жылдың қарашасына дейін, 14 - 2026 жылдың қарашасына дейін жасалады.
Жаңа нұсқалар 40-тан астам түзетуді ұсынады және сервер процесінде және libpq клиент кітапханасында екі осалдықты (CVE-2021-23214, CVE-2021-23222) жояды. Осалдықтар шабуылдаушыға MITM шабуылы арқылы шифрланған байланыс арнасын бұзуға мүмкіндік береді. Шабуыл жарамды SSL сертификатын қажет етпейді және сертификат арқылы клиенттің аутентификациясын қажет ететін жүйелерге қарсы жүзеге асырылуы мүмкін. Сервер контекстінде шабуыл клиенттен PostgreSQL серверіне шифрланған қосылымды орнату кезінде өзіңіздің SQL сұрауыңызды ауыстыруға мүмкіндік береді. libpq контекстінде осалдық шабуылдаушыға клиентке жалған сервер жауабын қайтаруға мүмкіндік береді. Біріктірілген кезде осалдықтар клиенттің құпия сөзі немесе қосылымның басында жіберілген басқа құпия деректер туралы ақпаратты шығарып алуға мүмкіндік береді.
Сонымен қатар, PostgreSQL ДҚБЖ-ға ашық қосылымдар пулын қолдауға және сұраныстарды бағыттауды ұйымдастыруға арналған Odyssey 1.2 прокси серверінің жаңа нұсқасын Яндекс жариялағанын атап өтуге болады. Odyssey көп ағынды өңдегіштермен бірнеше жұмыс процестерін іске қосуды, клиент қайта қосылған кезде бір серверге бағыттауды және қосылым пулдарын пайдаланушылар мен дерекқорлармен байланыстыру мүмкіндігін қолдайды. Код C тілінде жазылған және BSD лицензиясы бойынша таратылады.
Odyssey бағдарламасының жаңа нұсқасы SSL сеансы бойынша келіссөздер жүргізгеннен кейін деректерді ауыстыруды блоктау үшін қорғаныс қосады (жоғарыда аталған CVE-2021-23214 және CVE-2021-23222 осалдықтарын пайдаланып шабуылдарды блоктауға мүмкіндік береді). PAM және LDAP қолдауы жүзеге асырылды. Prometheus бақылау жүйесімен қосылған интеграция. Транзакция мен сұрауды орындау уақытын есепке алу үшін статистикалық параметрлерді есептеу жақсартылды.
Ақпарат көзі: opennet.ru