취약점이 수정된 PostgreSQL 업데이트입니다. Odyssey 연결 밸런서 1.2 출시

지원되는 모든 PostgreSQL 분기(14.1, 13.5, 12.9, 11.14, 10.19 및 9.6.24)에 대한 수정 업데이트가 생성되었습니다. 릴리스 9.6.24는 중단된 9.6 분기의 마지막 업데이트가 될 것입니다. 분기 10에 대한 업데이트는 2022년 11월까지, 2023 - 12년 2024월까지, 13 - 2025년 14월까지, 2026 - XNUMX년 XNUMX월까지, XNUMX - XNUMX년 XNUMX월까지 생성됩니다.

새 버전은 40개 이상의 수정 사항을 제공하고 서버 프로세스와 libpq 클라이언트 라이브러리에서 두 가지 취약점(CVE-2021-23214, CVE-2021-23222)을 제거합니다. 이 취약점으로 인해 공격자는 MITM 공격을 통해 암호화된 통신 채널에 침입할 수 있습니다. 공격에는 유효한 SSL 인증서가 필요하지 않으며 인증서를 사용하여 클라이언트 인증이 필요한 시스템에 대해 수행될 수 있습니다. 서버의 맥락에서 공격을 통해 클라이언트에서 PostgreSQL 서버로 암호화된 연결을 설정할 때 자신의 SQL 쿼리를 대체할 수 있습니다. libpq의 맥락에서 이 취약점으로 인해 공격자는 가짜 서버 응답을 클라이언트에 반환할 수 있습니다. 이 취약점을 결합하면 클라이언트의 비밀번호에 대한 정보나 연결 초기에 전송된 기타 민감한 데이터가 추출될 수 있습니다.

또한 PostgreSQL DBMS에 대한 개방형 연결 풀을 유지하고 쿼리 라우팅을 구성하도록 설계된 새로운 버전의 Odyssey 1.2 프록시 서버에 대한 Yandex의 게시에 주목할 수 있습니다. Odyssey는 다중 스레드 처리기를 사용하여 여러 작업자 프로세스 실행, 클라이언트가 다시 연결될 때 동일한 서버로 라우팅, 연결 풀을 사용자 및 데이터베이스에 바인딩하는 기능을 지원합니다. 코드는 C로 작성되었으며 BSD 라이센스에 따라 배포됩니다.

Odyssey의 새 버전에는 SSL 세션 협상 후 데이터 대체를 차단하는 보호 기능이 추가되었습니다(위에 언급된 취약점 CVE-2021-23214 및 CVE-2021-23222를 사용하는 공격을 차단할 수 있음). PAM 및 LDAP에 대한 지원이 구현되었습니다. Prometheus 모니터링 시스템과의 통합이 추가되었습니다. 트랜잭션 및 쿼리 실행 시간을 고려하여 통계 매개변수 계산이 개선되었습니다.

출처 : opennet.ru