Sugeneruoti korekciniai naujinimai visoms palaikomoms PostgreSQL šakoms: 13.3, 12.7, 11.12, 10.17 ir 9.6.22. 9.6 šakos naujiniai bus generuojami iki 2021 m. lapkričio mėn., 10 d. iki 2022 m. lapkričio mėn., 11 d. iki 2023 m. lapkričio mėn., 12 iki 2024 m. lapkričio mėn., 13 iki 2025 m. lapkričio mėn. Nauji leidimai pašalina tris pažeidžiamumus ir ištaiso susikaupusias klaidas.
Dėl pažeidžiamumo CVE-2021-32027 masyvo indekso skaičiavimo metu gali atsirasti buferio įrašymas už ribų, nes sveikasis skaičius perpildytas. Manipuliuodamas masyvo reikšmes SQL užklausose, užpuolikas, turintis prieigą vykdyti SQL užklausas, gali įrašyti bet kokius duomenis į savavališką proceso atminties sritį ir pasiekti savo kodo vykdymą su DBVS serverio teisėmis. Dėl dviejų kitų pažeidžiamumų (CVE-2021-32028, CVE-2021-32029) gali nutekėti proceso atminties turinys, kai manipuliuojama užklausomis „INSERT ... ON CONFLICT ... DO UPDATE“ ir „UPDATE ... GRĄŽINAMA“.
Ne pažeidžiamumo pataisymai apima:
- Pašalinkite neteisingus skaičiavimus, kai atliekate „ATNAUJINTI...GRĄŽINTI“, kad atnaujintumėte sujungtas suskaidytas lenteles.
- Ištaisykite komandos „ALTER TABLE ... ALTER CONSTRAINT“ gedimą, kai yra išorinio rakto apribojimų kartu su suskirstytų lentelių naudojimu.
- „COMMIT AND CHAIN“ funkcija buvo patobulinta.
- Naujiems FreeBSD leidimams fdatasync režimas dabar nustatytas į thatwal_sync_method pagal numatytuosius nustatymus.
- Parametras vacuum_cleanup_index_scale_factor yra išjungtas pagal numatytuosius nustatymus.
- Ištaisyti atminties nutekėjimai, atsirandantys inicijuojant TLS ryšius.
- Prie pg_upgrade buvo pridėtos papildomos patikros, ar vartotojų lentelėse nėra duomenų tipų, kurių negalima atnaujinti.
Šaltinis: opennet.ru