์ง์๋๋ ๋ชจ๋ PostgreSQL ๋ถ๊ธฐ(14.1, 13.5, 12.9, 11.14, 10.19 ๋ฐ 9.6.24)์ ๋ํ ์์ ์ ๋ฐ์ดํธ๊ฐ ์์ฑ๋์์ต๋๋ค. ๋ฆด๋ฆฌ์ค 9.6.24๋ ์ค๋จ๋ 9.6 ๋ถ๊ธฐ์ ๋ง์ง๋ง ์ ๋ฐ์ดํธ๊ฐ ๋ ๊ฒ์ ๋๋ค. ๋ถ๊ธฐ 10์ ๋ํ ์ ๋ฐ์ดํธ๋ 2022๋ 11์๊น์ง, 2023 - 12๋ 2024์๊น์ง, 13 - 2025๋ 14์๊น์ง, 2026 - XNUMX๋ XNUMX์๊น์ง, XNUMX - XNUMX๋ XNUMX์๊น์ง ์์ฑ๋ฉ๋๋ค.
์ ๋ฒ์ ์ 40๊ฐ ์ด์์ ์์ ์ฌํญ์ ์ ๊ณตํ๊ณ ์๋ฒ ํ๋ก์ธ์ค์ libpq ํด๋ผ์ด์ธํธ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์์ ๋ ๊ฐ์ง ์ทจ์ฝ์ (CVE-2021-23214, CVE-2021-23222)์ ์ ๊ฑฐํฉ๋๋ค. ์ด ์ทจ์ฝ์ ์ผ๋ก ์ธํด ๊ณต๊ฒฉ์๋ MITM ๊ณต๊ฒฉ์ ํตํด ์ํธํ๋ ํต์ ์ฑ๋์ ์นจ์ ํ ์ ์์ต๋๋ค. ๊ณต๊ฒฉ์๋ ์ ํจํ SSL ์ธ์ฆ์๊ฐ ํ์ํ์ง ์์ผ๋ฉฐ ์ธ์ฆ์๋ฅผ ์ฌ์ฉํ์ฌ ํด๋ผ์ด์ธํธ ์ธ์ฆ์ด ํ์ํ ์์คํ ์ ๋ํด ์ํ๋ ์ ์์ต๋๋ค. ์๋ฒ์ ๋งฅ๋ฝ์์ ๊ณต๊ฒฉ์ ํตํด ํด๋ผ์ด์ธํธ์์ PostgreSQL ์๋ฒ๋ก ์ํธํ๋ ์ฐ๊ฒฐ์ ์ค์ ํ ๋ ์์ ์ SQL ์ฟผ๋ฆฌ๋ฅผ ๋์ฒดํ ์ ์์ต๋๋ค. libpq์ ๋งฅ๋ฝ์์ ์ด ์ทจ์ฝ์ ์ผ๋ก ์ธํด ๊ณต๊ฒฉ์๋ ๊ฐ์ง ์๋ฒ ์๋ต์ ํด๋ผ์ด์ธํธ์ ๋ฐํํ ์ ์์ต๋๋ค. ์ด ์ทจ์ฝ์ ์ ๊ฒฐํฉํ๋ฉด ํด๋ผ์ด์ธํธ์ ๋น๋ฐ๋ฒํธ์ ๋ํ ์ ๋ณด๋ ์ฐ๊ฒฐ ์ด๊ธฐ์ ์ ์ก๋ ๊ธฐํ ๋ฏผ๊ฐํ ๋ฐ์ดํฐ๊ฐ ์ถ์ถ๋ ์ ์์ต๋๋ค.
๋ํ PostgreSQL DBMS์ ๋ํ ๊ฐ๋ฐฉํ ์ฐ๊ฒฐ ํ์ ์ ์งํ๊ณ ์ฟผ๋ฆฌ ๋ผ์ฐํ ์ ๊ตฌ์ฑํ๋๋ก ์ค๊ณ๋ ์๋ก์ด ๋ฒ์ ์ Odyssey 1.2 ํ๋ก์ ์๋ฒ์ ๋ํ Yandex์ ๊ฒ์์ ์ฃผ๋ชฉํ ์ ์์ต๋๋ค. Odyssey๋ ๋ค์ค ์ค๋ ๋ ์ฒ๋ฆฌ๊ธฐ๋ฅผ ์ฌ์ฉํ์ฌ ์ฌ๋ฌ ์์ ์ ํ๋ก์ธ์ค ์คํ, ํด๋ผ์ด์ธํธ๊ฐ ๋ค์ ์ฐ๊ฒฐ๋ ๋ ๋์ผํ ์๋ฒ๋ก ๋ผ์ฐํ , ์ฐ๊ฒฐ ํ์ ์ฌ์ฉ์ ๋ฐ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ๋ฐ์ธ๋ฉํ๋ ๊ธฐ๋ฅ์ ์ง์ํฉ๋๋ค. ์ฝ๋๋ C๋ก ์์ฑ๋์์ผ๋ฉฐ BSD ๋ผ์ด์ผ์ค์ ๋ฐ๋ผ ๋ฐฐํฌ๋ฉ๋๋ค.
Odyssey์ ์ ๋ฒ์ ์๋ SSL ์ธ์
ํ์ ํ ๋ฐ์ดํฐ ๋์ฒด๋ฅผ ์ฐจ๋จํ๋ ๋ณดํธ ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์์ต๋๋ค(์์ ์ธ๊ธ๋ ์ทจ์ฝ์ CVE-2021-23214 ๋ฐ CVE-2021-23222๋ฅผ ์ฌ์ฉํ๋ ๊ณต๊ฒฉ์ ์ฐจ๋จํ ์ ์์). PAM ๋ฐ LDAP์ ๋ํ ์ง์์ด ๊ตฌํ๋์์ต๋๋ค. Prometheus ๋ชจ๋ํฐ๋ง ์์คํ
๊ณผ์ ํตํฉ์ด ์ถ๊ฐ๋์์ต๋๋ค. ํธ๋์ญ์
๋ฐ ์ฟผ๋ฆฌ ์คํ ์๊ฐ์ ๊ณ ๋ คํ์ฌ ํต๊ณ ๋งค๊ฐ๋ณ์ ๊ณ์ฐ์ด ๊ฐ์ ๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru