ะกัะพัะผะธัะพะฒะฐะฝั ะบะพััะตะบัะธััััะธะต ะพะฑะฝะพะฒะปะตะฝะธั ะดะปั ะฒัะตั ะฟะพะดะดะตัะถะธะฒะฐะตะผัั ะฒะตัะพะบ PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 ะธ 9.6.24. ะัะฟััะบ 9.6.24 ััะฐะฝะตั ะฟะพัะปะตะดะฝะธะผ ะพะฑะฝะพะฒะปะตะฝะธะตะผ ะดะปั ะฒะตัะบะธ 9.6, ะฟะพะดะดะตัะถะบะฐ ะบะพัะพัะพะน ะฟัะตะบัะฐัะตะฝะฐ. ะะฑะฝะพะฒะปะตะฝะธั ะดะปั ะฒะตัะบะธ 10 ะฑัะดัั ัะพัะผะธัะพะฒะฐัััั ะดะพ ะฝะพัะฑัั 2022 ะณะพะดะฐ, 11 โ ะดะพ ะฝะพัะฑัั 2023 ะณะพะดะฐ, 12 โ ะดะพ ะฝะพัะฑัั 2024 ะณะพะดะฐ, 13 โ ะดะพ ะฝะพัะฑัั 2025 ะณะพะดะฐ, 14 โ ะดะพ ะฝะพัะฑัั 2026 ะณะพะดะฐ.
ะ ะฝะพะฒัั ะฒะตััะธัั ะฟัะตะดะปะพะถะตะฝะพ ะฑะพะปะตะต 40 ะธัะฟัะฐะฒะปะตะฝะธะน ะธ ััััะฐะฝะตะฝั ะดะฒะต ััะทะฒะธะผะพััะธ (CVE-2021-23214, CVE-2021-23222) ะฒ ัะตัะฒะตัะฝะพะผ ะฟัะพัะตััะต ะธ ะบะปะธะตะฝััะบะพะน ะฑะธะฑะปะธะพัะตะบะต libpq. ะฃัะทะฒะธะผะพััะธ ะฟะพะทะฒะพะปััั ะฐัะฐะบัััะตะผั ะฒะบะปะธะฝะธัััั ะฒ ัะธััะพะฒะฐะฝะฝัะน ะบะฐะฝะฐะป ัะฒัะทะธ ัะตัะตะท ะฟัะพะฒะตะดะตะฝะธะต MITM-ะฐัะฐะบะธ. ะัะฐะบะฐ ะฝะต ััะตะฑัะตั ะฝะฐะปะธัะธั ะบะพััะตะบัะฝะพะณะพ SSL-ัะตััะธัะธะบะฐัะฐ ะธ ะผะพะถะตั ะฑััั ะฟัะพะฒะตะดะตะฝะฐ ะฟัะพัะธะฒ ัะธััะตะผ, ััะตะฑัััะธั ะฐััะตะฝัะธัะธะบะฐัะธะธ ะบะปะธะตะฝัะฐ ะฟะพ ัะตััะธัะธะบะฐัั. ะ ะบะพะฝัะตะบััะต ัะตัะฒะตัะฐ ะฐัะฐะบะฐ ะฟะพะทะฒะพะปัะตั ะพัััะตััะฒะธัั ะฟะพะดััะฐะฝะพะฒะบั ัะฒะพะตะณะพ SQL-ะทะฐะฟัะพัะฐ ะฒ ะผะพะผะตะฝั ัััะฐะฝะพะฒะบะธ ัะธััะพะฒะฐะฝะฝะพะณะพ ัะพะตะดะธะฝะตะฝะธั ะบะปะธะตะฝัะฐ ั ัะตะฒะตัะพะผ PostgreSQL. ะ ะบะพะฝัะตะบััะต libpq ััะทะฒะธะผะพััั ะฟะพะทะฒะพะปัะตั ะฐัะฐะบัััะตะผั ะฒะตัะฝััั ะบะปะธะตะฝัั ัะธะบัะธะฒะฝัะน ะพัะฒะตั ัะตัะฒะตัะฐ. ะ ัะพัะตัะฐะฝะธะธ ััะทะฒะธะผะพััะธ ะฟะพะทะฒะพะปััั ะธะทะฒะปะตัั ะธะฝัะพัะผะฐัะธั ะพ ะฟะฐัะพะปะต ะธะปะธ ะดััะณะธั ะบะพะฝัะธะดะตะฝัะธะฐะปัะฝัั ะดะฐะฝะฝัั ะบะปะธะตะฝัะฐ, ะฟะตัะตะดะฐะฒะฐะตะผัั ะฝะฐ ัะฐะฝะฝะตะผ ััะฐะฟะต ัะพะตะดะธะฝะตะฝะธั.
ะะพะฟะพะปะฝะธัะตะปัะฝะพ ะผะพะถะฝะพ ะพัะผะตัะธัั ะฟัะฑะปะธะบะฐัะธั ะบะพะผะฟะฐะฝะธะตะน Yandex ะฝะพะฒะพะน ะฒะตััะธะธ ะฟัะพะบัะธ-ัะตัะฒะตัะฐ Odyssey 1.2, ะฟัะตะดะฝะฐะทะฝะฐัะตะฝะฝะพะณะพ ะดะปั ะฟะพะดะดะตัะถะฐะฝะธั ะฟัะปะฐ ะพัะบััััั ัะพะตะดะธะฝะตะฝะธะน ะบ ะกะฃะะ PostgreSQL ะธ ะพัะณะฐะฝะธะทะฐัะธะธ ะผะฐัััััะธะทะฐัะธะธ ะทะฐะฟัะพัะพะฒ. Odyssey ะฟะพะดะดะตัะถะธะฒะฐะตั ะทะฐะฟััะบ ะฝะตัะบะพะปัะบะธั ัะฐะฑะพัะธั ะฟัะพัะตััะพะฒ ั ะผะฝะพะณะพะฟะพัะพัะฝัะผะธ ะพะฑัะฐะฑะพััะธะบะฐะผะธ, ะฝะฐะฟัะฐะฒะปะตะฝะธะต ะบ ัะพะผั ะถะต ัะตัะฒะตัั ะฟัะธ ะฟะพะฒัะพัะฝะพะผ ัะพะตะดะธะฝะตะฝะธะธ ะบะปะธะตะฝัะฐ, ะฒะพะทะผะพะถะฝะพััั ะฟัะธะฒัะทะบะธ ะฟัะปะพะฒ ัะพะตะดะธะฝะตะฝะธะน ะบ ะฟะพะปัะทะพะฒะฐัะตะปัะผ ะธ ะะ. ะะพะด ะฝะฐะฟะธัะฐะฝ ะฝะฐ ัะทัะบะต ะกะธ ะธ ัะฐัะฟัะพัััะฐะฝัะตััั ะฟะพะด ะปะธัะตะฝะทะธะตะน BSD.
ะ ะฝะพะฒะพะน ะฒะตััะธะธ Odyssey ะดะพะฑะฐะฒะปะตะฝะฐ ะทะฐัะธัะฐ ะดะปั ะฑะปะพะบะธัะพะฒะฐะฝะธั ะฟะพะดััะฐะฝะพะฒะบะธ ะดะฐะฝะฝัั
ะฟะพัะปะต ัะพะณะปะฐัะพะฒะฐะฝะธั SSL-ัะตะฐะฝัะฐ (ะฟะพะทะฒะพะปัะตั ะฑะปะพะบะธัะพะฒะฐัั ะฐัะฐะบะธ ั ะธัะฟะพะปัะทะพะฒะฐะฝะธะตะผ ะฒััะตะพัะผะตัะตะฝะฝัั
ััะทะฒะธะผะพััะตะน CVE-2021-23214 ะธ CVE-2021-23222). ะ ะตะฐะปะธะทะพะฒะฐะฝะฐ ะฟะพะดะดะตัะถะบะฐ PAM ะธ LDAP. ะะพะฑะฐะฒะปะตะฝะฐ ะธะฝัะตะณัะฐัะธั ัะธััะตะผะพะน ะผะพะฝะธัะพัะธะฝะณะฐ Prometheus. ะฃะปัััะตะฝะพ ะฒััะธัะปะตะฝะธะต ะฟะฐัะฐะผะตััะพะฒ ััะฐัะธััะธะบะธ ะดะปั ััััะฐ ะฒัะตะผะตะฝะธ ะฒัะฟะพะปะฝะตะฝะธั ััะฐะฝะทะฐะบัะธะน ะธ ะทะฐะฟัะพัะพะฒ.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru