Nisy fanavaozana fanitsiana natao ho an'ny sampana PostgreSQL rehetra tohana: 13.3, 12.7, 11.12, 10.17 ary 9.6.22. Ny fanavaozana ny sampana 9.6 dia havoaka hatramin'ny Novambra 2021, 10 hatramin'ny Novambra 2022, 11 hatramin'ny Novambra 2023, 12 hatramin'ny Novambra 2024, 13 hatramin'ny Novambra 2025. Ny famoahana vaovao dia manafoana ny vulnerability telo ary manamboatra lesoka miangona.
Ny vulnerability CVE-2021-32027 dia mety hiteraka sora-baventy ivelan'ny fetra noho ny fihoaran'ny integer mandritra ny kajy fanondroana. Amin'ny alΓ lan'ny fanodikodinana ny soatoavin'ny array amin'ny fangatahana SQL, ny mpanafika manana fahafahana manatanteraka ny fangatahana SQL dia afaka manoratra angon-drakitra any amin'ny faritra tsy misy dikany amin'ny fitadidiana ny fizotrany ary manatanteraka ny kaody miaraka amin'ny zon'ny mpizara DBMS. Ny vulnerabilities roa hafa (CVE-2021-32028, CVE-2021-32029) dia mitarika ho amin'ny fahapotehan'ny atiny fitadidiana dingana rehefa manodinkodina ny fangatahana "INSERT ... ON CONFLICT ... DO UPDATE" sy "UPDATE ... RETURNING".
Ny fanamboarana tsy misy vulnerability dia misy:
- Esory ny kajikajy diso rehefa manao "UPDATE...RETURNING" mba hanavaozana ny latabatra mitambatra.
- Amboary ny tsy fahombiazan'ny baiko "ALTER TABLE ... ALTER CONSTRAINT" rehefa misy teritery fanalahidy vahiny miaraka amin'ny fampiasana tabilao misaraka.
- Nohatsaraina ny fiasa "COMMIT AND CHAIN".
- Ho an'ny famoahana vaovao FreeBSD, ny fomba fdatasync dia napetraka amin'ny thatwal_sync_method amin'ny alΓ lan'ny default.
- Ny mari-pamantarana vacuum_cleanup_index_scale_factor dia kilemaina amin'ny alΓ lan'ny default.
- Ny fitadidiana raikitra izay mitranga rehefa manomboka ny fifandraisana TLS.
- Nisy fisavana fanampiny nampiana tamin'ny pg_upgrade noho ny fisian'ny karazana data ao amin'ny tabilao mpampiasa izay tsy azo havaozina.
Source: opennet.ru