취약점이 수정된 PostgreSQL 업데이트

지원되는 모든 PostgreSQL 분기(13.3, 12.7, 11.12, 10.17 및 9.6.22)에 대한 수정 업데이트가 생성되었습니다. 분기 9.6에 대한 업데이트는 2021년 10월까지, 2022일은 11년 2023월, 12일은 2024년 13월, 2025일은 XNUMX년 XNUMX월, XNUMX일은 XNUMX년 XNUMX월까지 생성됩니다. 새 릴리스에서는 세 가지 취약점을 제거하고 누적된 오류를 수정합니다.

취약점 CVE-2021-32027로 인해 배열 인덱스 계산 중 정수 오버플로로 인해 범위를 벗어난 버퍼 쓰기가 발생할 수 있습니다. SQL 쿼리의 배열 값을 조작함으로써 SQL 쿼리 실행 권한이 있는 공격자는 프로세스 메모리의 임의 영역에 모든 데이터를 쓸 수 있으며 DBMS 서버 권한으로 코드를 실행할 수 있습니다. 다른 두 가지 취약점(CVE-2021-32028, CVE-2021-32029)은 "INSERT ... ON CONFLICT ... DO UPDATE" 및 "UPDATE ... RETURNING" 요청을 조작할 때 프로세스 메모리 내용의 유출을 초래합니다.

비취약성 수정에는 다음이 포함됩니다.

• 조인된 샤딩된 테이블을 업데이트하기 위해 "UPDATE...RETURNING"을 수행할 때 잘못된 계산을 제거합니다.
• 분할된 테이블 사용과 결합하여 외래 키 제약 조건이 있는 경우 "ALTER TABLE ... ALTER CONSTRAINT" 명령 실패를 수정합니다.
• "COMMIT AND CHAIN" 기능이 개선되었습니다.
• FreeBSD의 새 릴리스에서는 이제 fdatasync 모드가 기본적으로 thatwal_sync_method로 설정됩니다.
• Vacuum_cleanup_index_scale_factor 매개변수는 기본적으로 비활성화되어 있습니다.
• TLS 연결을 초기화할 때 발생하는 메모리 누수를 수정했습니다.
• 업그레이드할 수 없는 사용자 테이블의 데이터 유형이 있는지 확인하기 위해 pg_upgrade에 추가 검사가 추가되었습니다.

출처 : opennet.ru