14.1, 13.5, 12.9, 11.14, 10.19, 9.6.24 гэсэн бүх дэмжигдсэн PostgreSQL салбаруудад залруулах шинэчлэлтүүдийг үүсгэсэн. 9.6.24 хувилбар нь зогссон 9.6 салбарын сүүлийн шинэчлэлт байх болно. 10-р салбарын шинэчлэлийг 2022 оны 11-р сар хүртэл, 2023-ээс 12 оны 2024-р сар хүртэл, 13-нд 2025 оны 14-р сар хүртэл, 2026-аас XNUMX оны XNUMX-р сар хүртэл, XNUMX-нд XNUMX оны XNUMX-р сар хүртэл гарна.
Шинэ хувилбарууд нь 40 гаруй засварыг санал болгож, серверийн процесс болон libpq клиент номын сан дахь хоёр эмзэг байдлыг (CVE-2021-23214, CVE-2021-23222) арилгадаг. Сул талууд нь халдагчид MITM халдлагаар дамжуулан шифрлэгдсэн холбооны суваг руу нэвтрэх боломжийг олгодог. Халдлага нь хүчинтэй SSL сертификат шаарддаггүй бөгөөд гэрчилгээ ашиглан үйлчлүүлэгчийн баталгаажуулалт шаарддаг системүүдийн эсрэг хийж болно. Серверийн контекстэд халдлага нь үйлчлүүлэгчээс PostgreSQL сервер рүү шифрлэгдсэн холболт үүсгэх үед өөрийн SQL асуулгыг орлуулах боломжийг олгодог. Libpq-ийн хүрээнд энэ эмзэг байдал нь халдагчид серверийн хуурамч хариуг үйлчлүүлэгч рүү буцаах боломжийг олгодог. Энэ эмзэг талуудыг нэгтгэх үед харилцагчийн нууц үг эсвэл холболтын эхэн үед дамжуулагдсан бусад нууц мэдээллийн талаарх мэдээллийг задлах боломжийг олгодог.
Нэмж дурдахад, PostgreSQL DBMS-тэй нээлттэй холболтын санг хадгалах, асуулгын чиглүүлэлт зохион байгуулах зориулалттай Odyssey 1.2 прокси серверийн шинэ хувилбарыг Yandex-ээс нийтэлсэн болохыг тэмдэглэж болно. Odyssey нь олон урсгалтай зохицуулагчтай олон ажилчны процессыг ажиллуулах, үйлчлүүлэгч дахин холбогдох үед нэг сервер рүү чиглүүлэх, холболтын санг хэрэглэгчид болон мэдээллийн сантай холбох чадварыг дэмждэг. Код нь C хэл дээр бичигдсэн бөгөөд BSD лицензийн дагуу түгээгддэг.
Odyssey-ийн шинэ хувилбар нь SSL сессийг хэлэлцсэний дараа өгөгдөл солихыг хориглох хамгаалалтыг нэмж өгдөг (дээр дурдсан CVE-2021-23214 болон CVE-2021-23222 сул талуудыг ашиглан халдлагыг хаах боломжийг танд олгоно). PAM болон LDAP-ийн дэмжлэгийг хэрэгжүүлсэн. Prometheus хяналтын системтэй нэгтгэсэн. Гүйлгээ болон асуулгын гүйцэтгэлийн хугацааг тооцоолохын тулд статистик үзүүлэлтүүдийн тооцоолол сайжирсан.
Эх сурвалж: opennet.ru