Korrektiv Updates goufen fir all ënnerstëtzt PostgreSQL Filialen generéiert: 14.1, 13.5, 12.9, 11.14, 10.19 an 9.6.24. Verëffentlechung 9.6.24 wäert de leschten Update fir den 9.6 Branche sinn, deen ofgeschaaft gouf. Updates fir Branche 10 gi generéiert bis November 2022, 11 - bis November 2023, 12 - bis November 2024, 13 - bis November 2025, 14 - bis November 2026.
Déi nei Versioune bidden méi wéi 40 Fixer an eliminéieren zwee Schwachstelle (CVE-2021-23214, CVE-2021-23222) am Serverprozess an der libpq Clientbibliothéik. D'Schwieregkeeten erlaben en Ugräifer an e verschlësselte Kommunikatiounskanal duerch e MITM Attack ze briechen. D'Attack erfuerdert kee gültege SSL Zertifika a kann géint Systemer duerchgefouert ginn, déi Client Authentifikatioun mat engem Zertifika erfuerderen. Am Kontext vum Server erlaabt d'Attack Iech Är eege SQL Ufro ze ersetzen an der Zäit vun enger verschlësselter Verbindung vum Client zum PostgreSQL Server. Am Kontext vu libpq erlaabt d'Vulnerabilitéit en Ugräifer eng falsch Server Äntwert op de Client zréckzeginn. Wann kombinéiert, erlaben d'Schwieregkeeten Informatioun iwwer e Client säi Passwuert oder aner sensibel Donnéeën, déi fréi an der Verbindung iwwerdroe ginn, extrahéiert ginn.
Zousätzlech kënne mir d'Publikatioun vum Yandex vun enger neier Versioun vum Odyssey 1.2 Proxy-Server notéieren, entwéckelt fir e Pool vun oppene Verbindunge mat der PostgreSQL DBMS z'erhalen an Ufrorouting z'organiséieren. Odyssey ënnerstëtzt verschidde Aarbechterprozesser mat Multi-threaded Handler ze lafen, Routing op dee selwechte Server wann e Client nei verbënnt, an d'Fäegkeet fir Verbindungspools un Benotzer an Datenbanken ze binden. De Code ass an C geschriwwen a verdeelt ënner der BSD Lizenz.
Déi nei Versioun vun Odyssey füügt Schutz fir d'Blockéierung vun Datensubstitutioun no der Verhandlunge vun enger SSL Sessioun (erlaabt Iech Attacke mat den uewe genannte Schwachstelle CVE-2021-23214 an CVE-2021-23222 ze blockéieren). Ënnerstëtzung fir PAM an LDAP gouf implementéiert. Zousätzlech Integratioun mam Prometheus Iwwerwaachungssystem. Verbesserte Berechnung vu Statistikparameter fir Transaktiouns- an Ufroausféierungszäiten ze berechnen.
Source: opennet.ru