Ġew ġġenerati aġġornamenti korrettivi għall-fergħat kollha ta' PostgreSQL appoġġjati: 14.1, 13.5, 12.9, 11.14, 10.19 u 9.6.24. Ir-rilaxx 9.6.24 se jkun l-aħħar aġġornament għall-fergħa 9.6, li twaqqaf. Aġġornamenti għall-fergħa 10 se jiġu ġġenerati sa Novembru 2022, 11 - sa Novembru 2023, 12 - sa Novembru 2024, 13 - sa Novembru 2025, 14 - sa Novembru 2026.
Il-verżjonijiet il-ġodda joffru aktar minn 40 soluzzjoni u jeliminaw żewġ vulnerabbiltajiet (CVE-2021-23214, CVE-2021-23222) fil-proċess tas-server u l-librerija tal-klijent libpq. Il-vulnerabbiltajiet jippermettu lil attakkant jidħol f'kanal ta 'komunikazzjoni kriptat permezz ta' attakk MITM. L-attakk ma jeħtieġx ċertifikat SSL validu u jista 'jsir kontra sistemi li jeħtieġu awtentikazzjoni tal-klijent bl-użu ta' ċertifikat. Fil-kuntest tas-server, l-attakk jippermettilek li tissostitwixxi l-mistoqsija SQL tiegħek stess fil-ħin li tistabbilixxi konnessjoni kriptata mill-klijent għas-server PostgreSQL. Fil-kuntest tal-libpq, il-vulnerabbiltà tippermetti li attakkant jirritorna rispons falz ta' server lill-klijent. Meta kkombinati, il-vulnerabbiltajiet jippermettu li tiġi estratta informazzjoni dwar il-password tal-klijent jew data sensittiva oħra trażmessa kmieni fil-konnessjoni.
Barra minn hekk, nistgħu ninnotaw il-pubblikazzjoni minn Yandex ta 'verżjoni ġdida tas-server proxy Odyssey 1.2, iddisinjat biex iżomm ġabra ta' konnessjonijiet miftuħa għad-DBMS PostgreSQL u jorganizza r-rotot tal-mistoqsijiet. Odyssey tappoġġja t-tmexxija ta 'proċessi ta' ħaddiema multipli b'handlers b'ħafna kamini, rotta lejn l-istess server meta klijent jerġa 'jikkonnettja, u l-abbiltà li torbot pools ta' konnessjoni ma' utenti u databases. Il-kodiċi huwa miktub f'Ċ u mqassam taħt il-liċenzja BSD.
Il-verżjoni l-ġdida ta 'Odyssey żżid protezzjoni biex timblokka s-sostituzzjoni tad-dejta wara li tinnegozja sessjoni SSL (jippermettilek timblokka attakki billi tuża l-vulnerabbiltajiet CVE-2021-23214 u CVE-2021-23222 imsemmija hawn fuq). L-appoġġ għall-PAM u l-LDAP ġie implimentat. Integrazzjoni miżjuda mas-sistema ta 'monitoraġġ Prometheus. Kalkolu mtejba tal-parametri tal-istatistika biex jagħti kont tal-ħinijiet tal-eżekuzzjoni tat-tranżazzjonijiet u tal-mistoqsijiet.
Sors: opennet.ru