Kua hangaia nga whakahou whakatika mo nga peka katoa o PostgreSQL e tautokohia ana: 14.1, 13.5, 12.9, 11.14, 10.19 me 9.6.24. Ko te tuku 9.6.24 te whakahou whakamutunga mo te peka 9.6, kua mutu. Ka mahia nga whakahoutanga mo te peka 10 tae noa ki Noema 2022, 11 - ki Noema 2023, 12 - ki Noema 2024, 13 - ki Noema 2025, 14 - ki Noema 2026.
Ko nga putanga hou ka nui ake i te 40 nga whakatika me te whakakore i nga whakaraeraetanga e rua (CVE-2021-23214, CVE-2021-23222) i roto i te tukanga tūmau me te whare pukapuka kiritaki libpq. Ko nga whakaraeraetanga ka taea e te kaiwhaiwhai te pakaru ki roto i te hongere korero whakamunatia ma te whakaeke MITM. Ko te whakaeke kaore e hiahiatia he tiwhikete SSL whaimana, ka taea te whakahaere ki nga punaha e hiahia ana ki te whakamotuhēhēnga o te kiritaki ma te whakamahi i te tiwhikete. I roto i te horopaki o te tūmau, ko te whakaeke ka taea e koe te whakakapi i to ake uiui SQL i te wa e whakatuu ana he hononga whakamunatia mai i te kiritaki ki te tūmau PostgreSQL. I roto i te horopaki o te libpq, ko te whakaraeraetanga ka taea e te kaitukino te whakahoki mai i te urupare a te tūmau teka ki te kiritaki. Ina whakakotahihia, ka taea e nga whakaraerae te tango korero mo te kupuhipa a te kiritaki, etahi atu raraunga tairongo ranei i tukuna wawe i te hononga kia tangohia.
I tua atu, ka taea e tatou te tuhi i te whakaputanga a Yandex o tetahi putanga hou o te Odyssey 1.2 tūmau takawaenga, i hangaia hei pupuri i te puna o nga hononga tuwhera ki te PostgreSQL DBMS me te whakarite i nga huarahi uiui. E tautoko ana a Odyssey ki te whakahaere i nga tukanga kaimahi maha me nga kaikawe miro-maha, te ararere ki te tūmau kotahi ina hono ano te kiritaki, me te kaha ki te here i nga puna hononga ki nga kaiwhakamahi me nga papaa raraunga. Ka tuhia te waehere ki C ka tohatohahia i raro i te raihana BSD.
Ko te putanga hou o Odyssey he taapiri whakamarumaru ki te aukati i te whakakapinga raraunga i muri i te whiriwhiringa i tetahi huihuinga SSL (ka taea e koe te aukati i nga whakaeke ma te whakamahi i nga whakaraeraetanga kua whakahuahia ake nei CVE-2021-23214 me CVE-2021-23222). Kua whakatinanahia te tautoko mo te PAM me te LDAP. He whakaurunga taapiri me te punaha aroturuki Prometheus. Kua pai ake te tatauranga o nga tawhā tatauranga hei utu mo nga tauwhitinga me nga wa mahi uiui.
Source: opennet.ru