Korektīvie atjauninājumi ir ģenerēti visām atbalstītajām PostgreSQL filiālēm: 14.1, 13.5, 12.9, 11.14, 10.19 un 9.6.24. Izlaidums 9.6.24 būs pēdējais atjauninājums 9.6 filiālei, kas ir pārtraukta. 10. nozares atjauninājumi tiks ģenerēti līdz 2022. gada 11. novembrim — līdz 2023. gada novembrim, 12. nodaļai — līdz 2024. gada novembrim, 13. nozarei līdz 2025. gada novembrim, 14. nozarei līdz 2026. gada novembrim.
Jaunās versijas piedāvā vairāk nekā 40 labojumus un novērš divas ievainojamības (CVE-2021-23214, CVE-2021-23222) servera procesā un libpq klienta bibliotēkā. Ievainojamības ļauj uzbrucējam ielauzties šifrētā sakaru kanālā, izmantojot MITM uzbrukumu. Uzbrukumam nav nepieciešams derīgs SSL sertifikāts, un to var veikt pret sistēmām, kurām nepieciešama klienta autentifikācija, izmantojot sertifikātu. Servera kontekstā uzbrukums ļauj aizstāt savu SQL vaicājumu brīdī, kad tiek izveidots šifrēts savienojums no klienta ar PostgreSQL serveri. Libpq kontekstā ievainojamība ļauj uzbrucējam atgriezt klientam viltus servera atbildi. Ja ievainojamības tiek apvienotas, tās ļauj iegūt informāciju par klienta paroli vai citiem sensitīviem datiem, kas nosūtīti savienojuma sākumā.
Turklāt mēs varam atzīmēt, ka Yandex ir publicējusi jaunu Odyssey 1.2 starpniekservera versiju, kas paredzēta, lai uzturētu atvērtu savienojumu kopumu ar PostgreSQL DBVS un organizētu vaicājumu maršrutēšanu. Odyssey atbalsta vairāku darbinieku procesu palaišanu ar daudzpavedienu apdarinātājiem, maršrutēšanu uz to pašu serveri, kad klients atkārtoti izveido savienojumu, un iespēju saistīt savienojumu pūlus ar lietotājiem un datu bāzēm. Kods ir rakstīts C valodā un tiek izplatīts saskaņā ar BSD licenci.
Jaunā Odyssey versija pievieno aizsardzību, lai bloķētu datu aizstāšanu pēc SSL sesijas sarunām (ļauj bloķēt uzbrukumus, izmantojot iepriekš minētās ievainojamības CVE-2021-23214 un CVE-2021-23222). Ir ieviests atbalsts PAM un LDAP. Pievienota integrācija ar Prometheus uzraudzības sistēmu. Uzlabots statistikas parametru aprēķins, lai ņemtu vērā darījumu un vaicājumu izpildes laikus.
Avots: opennet.ru