Бардык колдоого алынган PostgreSQL бутактары үчүн түзөтүүчү жаңыртуулар түзүлдү: 13.3, 12.7, 11.12, 10.17 жана 9.6.22. 9.6 филиалы үчүн жаңыртуулар 2021-жылдын ноябрына чейин, 10 2022-жылдын ноябрына чейин, 11 2023-жылдын ноябрына чейин, 12 2024-жылдын ноябрына чейин, 13 2025-жылдын ноябрына чейин түзүлөт. Жаңы релиздер үч кемчиликти жок кылат жана топтолгон каталарды оңдойт.
CVE-2021-32027 алсыздыгы массив индекстерин эсептөөдө бүтүн сандын ашып кетишинен улам маалыматтарды жазуунун чегинен чыгып кетишине алып келиши мүмкүн. SQL сурамдарындагы массив маанилерин манипуляциялоо менен, SQL сурамдарын аткарууга мүмкүнчүлүгү бар чабуулчу процесстин эс тутумунун каалаган аймагына каалагандай маалыматтарды жазып, өз кодун артыкчылыктар менен аткара алат. сервер DBMS. Дагы эки аялуу жер (CVE-2021-32028, CVE-2021-32029) "INSERT … ON CONFLICT … DO UPDATE" жана "UPDATE … RETURNING" сурамдарын манипуляциялоодо процесстин эс тутумунун агып кетишине алып келет.
Алсыздыкты оңдоого төмөнкүлөр кирет:
- Кошулган майдаланган таблицаларды жаңыртуу үчүн "UPDATE...RETURNING" учурунда туура эмес эсептөөлөрдү жок кылыңыз.
- Бөлүнгөн таблицаларды колдонуу менен бирге тышкы ачкыч чектөөлөрү болгондо "ALTER TABLE ... ALTER CONSTRAINT" буйругунун катасын оңдоңуз.
- "COMMIT AND CHAIN" функциясы жакшыртылды.
- FreeBSD жаңы релиздери үчүн, fdatasync режими азыр демейки боюнча thatwal_sync_method болуп коюлган.
- vacuum_cleanup_index_scale_factor параметри демейки боюнча өчүрүлгөн.
- TLS туташууларын инициализациялоодо пайда болгон эс тутумдун агып кетиши оңдолду.
- Кошумча текшерүүлөр pg_upgrade үчүн колдонуучу таблицаларында жаңыртылбай турган маалымат түрлөрүнүн болушу үчүн кошулду.
Source: opennet.ru
