Генерирани се корективни ажурирања за сите поддржани гранки на PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Ажурирањата за филијалата 9.6 ќе се генерираат до ноември 2021 година, 10 до ноември 2022 година, 11 до ноември 2023 година, 12 до ноември 2024 година, 13 до ноември 2025 година. Новите изданија елиминираат три пропусти и ги поправаат акумулираните грешки.
Ранливоста CVE-2021-32027 може да резултира со запишување на баферот надвор од границите поради прелевање на цел број за време на пресметките на индексот на низата. Со манипулирање со вредностите на низата во SQL пребарувањата, напаѓачот со пристап до извршување на SQL барања може да запише какви било податоци во произволна област на процесна меморија и да постигне извршување на неговиот код со правата на серверот DBMS. Две други пропусти (CVE-2021-32028, CVE-2021-32029) доведуваат до истекување на содржината на процесната меморија при манипулирање со барањата „INSERT ... ON CONFLICT ... DO UPDATE“ и „UPDATE ... RETURNING“.
Поправките за неранливост вклучуваат:
- Елиминирајте ги неточните пресметки кога вршите „АЖУРИРАЊЕ... ВРАЌАЊЕ“ за да ги ажурирате споените исечени табели.
- Поправете неуспех на командата „ALTER TABLE ... ALTER CONSTRAINT“ кога има ограничувања на странски клучеви во комбинација со користење на поделени табели.
- Подобрена е функционалноста „ОБВРШУВАЊЕ И СИНЏИР“.
- За новите изданија на FreeBSD, режимот fdatasync сега е стандардно поставен на thatwal_sync_method.
- Параметарот vacuum_cleanup_index_scale_factor е стандардно оневозможен.
- Поправени протекувања на меморијата што се појавуваат при иницијализирање на TLS конекциите.
- Додадени се дополнителни проверки на pg_upgrade за присуство на типови на податоци во корисничките табели кои не можат да се надградат.
Извор: opennet.ru