KorektÄ«vi atjauninÄjumi ir Ä£enerÄti visÄm atbalstÄ«tajÄm PostgreSQL versijÄm: 13.3, 12.7, 11.12, 10.17 un 9.6.22. AtjauninÄjumi 9.6 versijai tiks Ä£enerÄti lÄ«dz 2021. gada novembrim, 10. lÄ«dz 2022. gada novembrim, 11. lÄ«dz 2023. gada novembrim, 12. lÄ«dz 2024. gada novembrim un 13. lÄ«dz 2025. gada novembrim. Jaunie laidieni novÄrÅ” trÄ«s ievainojamÄ«bas un uzkrÄtÄs kļūdas.
IevainojamÄ«ba CVE-2021-32027 var izraisÄ«t datu rakstÄ«Å”anu Ärpus atļautajÄm robežÄm vesela skaitļa pÄrpildes dÄļ, aprÄÄ·inot masÄ«va indeksus. ManipulÄjot ar masÄ«va vÄrtÄ«bÄm SQL vaicÄjumos, uzbrucÄjs ar piekļuvi SQL vaicÄjumu izpildei var ierakstÄ«t patvaļīgus datus patvaļīgÄ procesa atmiÅas apgabalÄ un izpildÄ«t savu kodu ar privilÄÄ£ijÄm. serveris DBMS. Divas citas ievainojamÄ«bas (CVE-2021-32028, CVE-2021-32029) izraisa procesa atmiÅas noplÅ«des, manipulÄjot ar vaicÄjumiem "INSERT ā¦ ON CONFLICT ā¦ DO UPDATE" un "UPDATE ā¦ RETURNING".
Starp labojumiem, kas nav saistÄ«ti ar ievainojamÄ«bu, var izcelt Å”Ädus:
- Izlaboti nepareizi aprÄÄ·ini, veicot darbÄ«bu "UPDATE ... RETURNING", lai atjauninÄtu apvienotÄs sadalÄ«tÄs tabulas.
- Labojums ALTER TABLEā¦ ALTER CONSTRAINT komandas kļūmei, ja ir ÄrÄjÄs atslÄgas ierobežojumi kombinÄcijÄ ar sadalÄ«tÄm tabulÄm.
- Ir uzlabota funkcionalitÄte "APSTIPRINÄT UN ĶÄDÄT".
- JaunÄkÄs FreeBSD versijas tagad nodroÅ”ina, ka fdatasync režīms pÄc noklusÄjuma ir iestatÄ«ts uz thatwal_sync_method.
- Parametrs vacuum_cleanup_index_scale_factor pÄc noklusÄjuma ir atspÄjots.
- NovÄrstas atmiÅas noplÅ«des, kas radÄs, inicializÄjot TLS savienojumus.
- pg_upgrade tagad ietver papildu pÄrbaudes lietotÄju tabulÄm, lai pÄrliecinÄtos, ka tajÄs ir datu tipi, kurus nevar jauninÄt.
Avots: opennet.ru
