13.3, 12.7, 11.12, 10.17, 9.6.22 гэсэн бүх дэмжигдсэн PostgreSQL салбаруудад залруулах шинэчлэлтүүдийг үүсгэсэн. 9.6 салбарын шинэчлэлийг 2021 оны 10-р сар хүртэл, 2022 оны 11-р сар хүртэл 2023, 12 оны 2024-р сар хүртэл 13, 2025 оны XNUMX-р сар хүртэл XNUMX, XNUMX оны XNUMX-р сар хүртэл XNUMX, XNUMX оны XNUMX-р сар хүртэл хийгдэнэ. Шинэ хувилбарууд нь гурван эмзэг байдлыг арилгаж, хуримтлагдсан алдааг засдаг.
CVE-2021-32027-ийн эмзэг байдал нь массивын индексийн тооцооллын үед бүхэл тоо хэт ихэссэний улмаас хязгаараас гадуур буфер бичихэд хүргэж болзошгүй. SQL асуулгад массив утгыг удирдан чиглүүлснээр SQL асуулга гүйцэтгэх эрхтэй халдагчид процессын санах ойн дурын талбарт дурын өгөгдлийг бичиж, DBMS серверийн эрхээр өөрийн кодыг гүйцэтгэх боломжтой. Өөр хоёр эмзэг байдал (CVE-2021-32028, CVE-2021-32029) нь "INSERT ... ЗӨРЧИЛДҮҮЛЭХ ... ШИНЭЧЛЭХ" болон "ШИНЭЧЛЭХ ... БУЦАХ" хүсэлтийг удирдах үед процессын санах ойн агуулга алдагдахад хүргэдэг.
Эмзэг бус байдлын засварууд нь:
- Нэгдсэн хүснэгтүүдийг шинэчлэхийн тулд "ШИНЭЧЛЭХ... БУЦАХ" үйлдлийг гүйцэтгэхдээ буруу тооцооллыг арилгана уу.
- Хуваагдсан хүснэгтүүдийг ашиглахтай хослуулан гадаад түлхүүрийн хязгаарлалт байгаа үед "ALTER TABLE ... ALTER CONSTRAINT" командын алдааг засна уу.
- “COMMIT AND CHAIN” функцийг сайжруулсан.
- FreeBSD-ийн шинэ хувилбаруудын хувьд fdatasync горимыг анхдагчаар thatwal_sync_method гэж тохируулсан байна.
- Vacuum_cleanup_index_scale_factor параметр нь анхдагчаар идэвхгүй байна.
- TLS холболтыг эхлүүлэх үед тохиолддог санах ойн алдагдлыг зассан.
- pg_upgrade-д хэрэглэгчийн хүснэгтэд шинэчлэх боломжгүй өгөгдлийн төрлүүд байгаа эсэхийг шалгах нэмэлт шалгалтуудыг нэмсэн.
Эх сурвалж: opennet.ru