Kemas kini pembetulan telah dijana untuk semua cawangan PostgreSQL yang disokong: 14.1, 13.5, 12.9, 11.14, 10.19 dan 9.6.24. Keluaran 9.6.24 akan menjadi kemas kini terakhir untuk cawangan 9.6, yang telah dihentikan. Kemas kini untuk cawangan 10 akan dijana sehingga November 2022, 11 - hingga November 2023, 12 - hingga November 2024, 13 - hingga November 2025, 14 - hingga November 2026.
Versi baharu menawarkan lebih daripada 40 pembaikan dan menghapuskan dua kelemahan (CVE-2021-23214, CVE-2021-23222) dalam proses pelayan dan pustaka klien libpq. Kerentanan membolehkan penyerang memecah masuk ke saluran komunikasi yang disulitkan melalui serangan MITM. Serangan tidak memerlukan sijil SSL yang sah dan boleh dilakukan terhadap sistem yang memerlukan pengesahan pelanggan menggunakan sijil. Dalam konteks pelayan, serangan itu membolehkan anda menggantikan pertanyaan SQL anda sendiri pada masa mewujudkan sambungan yang disulitkan daripada klien ke pelayan PostgreSQL. Dalam konteks libpq, kerentanan membolehkan penyerang mengembalikan respons pelayan palsu kepada pelanggan. Apabila digabungkan, kelemahan membenarkan maklumat tentang kata laluan pelanggan atau data sensitif lain yang dihantar pada awal sambungan diekstrak.
Selain itu, kami boleh ambil perhatian penerbitan oleh Yandex versi baharu pelayan proksi Odyssey 1.2, yang direka untuk mengekalkan kumpulan sambungan terbuka kepada DBMS PostgreSQL dan mengatur penghalaan pertanyaan. Odyssey menyokong menjalankan pelbagai proses pekerja dengan pengendali berbilang benang, menghala ke pelayan yang sama apabila pelanggan menyambung semula, dan keupayaan untuk mengikat kumpulan sambungan kepada pengguna dan pangkalan data. Kod tersebut ditulis dalam C dan diedarkan di bawah lesen BSD.
Versi baharu Odyssey menambah perlindungan untuk menyekat penggantian data selepas berunding dengan sesi SSL (membolehkan anda menyekat serangan menggunakan kelemahan yang dinyatakan di atas CVE-2021-23214 dan CVE-2021-23222). Sokongan untuk PAM dan LDAP telah dilaksanakan. Ditambahkan integrasi dengan sistem pemantauan Prometheus. Pengiraan parameter statistik yang dipertingkatkan untuk mengambil kira masa pelaksanaan transaksi dan pertanyaan.
Sumber: opennet.ru