Kemas kini pembetulan telah dijana untuk semua cawangan PostgreSQL yang disokong: 13.3, 12.7, 11.12, 10.17 dan 9.6.22. Kemas kini untuk cawangan 9.6 akan dijana sehingga November 2021, 10 hingga November 2022, 11 hingga November 2023, 12 hingga November 2024, 13 hingga November 2025. Keluaran baharu menghapuskan tiga kelemahan dan membetulkan ralat terkumpul.
Kerentanan CVE-2021-32027 boleh mengakibatkan penulisan penimbal di luar sempadan disebabkan limpahan integer semasa pengiraan indeks tatasusunan. Dengan memanipulasi nilai tatasusunan dalam pertanyaan SQL, penyerang dengan akses untuk melaksanakan pertanyaan SQL boleh menulis sebarang data ke kawasan memori proses sewenang-wenangnya dan mencapai pelaksanaan kodnya dengan hak pelayan DBMS. Dua kelemahan lain (CVE-2021-32028, CVE-2021-32029) membawa kepada kebocoran kandungan memori proses apabila memanipulasi permintaan "INSERT ... ON CONFLICK ... DO UPDATE" dan "KEMASKINI ... RETURNING".
Pembetulan bukan kerentanan termasuk:
- Hapuskan pengiraan yang salah apabila melakukan "KEMASKINI...KEMBALI" untuk mengemas kini jadual berpecah yang digabungkan.
- Betulkan kegagalan arahan "ALTER TABLE ... ALTER CONSTRAINT" apabila terdapat kekangan kunci asing dalam kombinasi dengan menggunakan jadual partitioned.
- Fungsi "COMMIT AND CHAIN" telah dipertingkatkan.
- Untuk keluaran baharu FreeBSD, mod fdatasync kini ditetapkan kepada thatwal_sync_method secara lalai.
- Parameter vacuum_cleanup_index_scale_factor dilumpuhkan secara lalai.
- Membetulkan kebocoran memori yang berlaku apabila memulakan sambungan TLS.
- Semakan tambahan telah ditambahkan pada pg_upgrade untuk kehadiran jenis data dalam jadual pengguna yang tidak boleh ditingkatkan.
Sumber: opennet.ru