ပံ့ပိုးထားသော PostgreSQL အကိုင်းအခက်အားလုံးအတွက် ပြုပြင်မွမ်းမံမှုများကို ထုတ်ပေးခဲ့သည်- 13.3၊ 12.7၊ 11.12၊ 10.17 နှင့် 9.6.22။ ဌာနခွဲ 9.6 အတွက် အပ်ဒိတ်များကို နိုဝင်ဘာ 2021၊ 10 ရက်မှ 2022 ခုနှစ်အထိ၊ 11 နိုဝင်ဘာ 2023၊ 12 မှ 2024 ခုနှစ်အထိ၊ 13 မှ 2025 ခုနှစ် နိုဝင်ဘာလအထိ ထုတ်ပေးမည်ဖြစ်သည်။ အသစ်ထွက်ရှိမှုများသည် အားနည်းချက် သုံးခုကို ဖယ်ရှားပြီး စုဆောင်းထားသော အမှားများကို ပြင်ဆင်ပါ။
အားနည်းချက်မှာ CVE-2021-32027 သည် array အညွှန်းတွက်ချက်မှုအတွင်း ကိန်းပြည့်ပြည့်လျှံနေသောကြောင့် အကန့်အသတ်မရှိ ကြားခံရေးသားမှု ဖြစ်ပေါ်နိုင်သည်။ SQL queries များတွင် array values များကို ခြယ်လှယ်ခြင်းဖြင့်၊ SQL queries များကို execute လုပ်ဖို့ access ရှိသော attacker သည် data အားလုံးကို process memory ၏ မထင်သလို ဧရိယာတစ်ခုသို့ ရေးနိုင်ပြီး DBMS server ၏ ရပိုင်ခွင့်များဖြင့် ၎င်း၏ကုဒ်ကို execution ပြုလုပ်နိုင်သည်။ အခြားအားနည်းချက်နှစ်ခု (CVE-2021-32028၊ CVE-2021-32029) "INSERT... ON CONFLICT... UPDATE" နှင့် "UPDATE... RETURNING" တောင်းဆိုချက်များကို ကြိုးကိုင်သည့်အခါ လုပ်ငန်းစဉ်မှတ်ဉာဏ်အကြောင်းအရာများ ပေါက်ကြားသွားစေသည်။
အားနည်းချက်မဟုတ်သော ပြင်ဆင်မှုများတွင်-
- ခွဲထားသောဇယားများကို အပ်ဒိတ်လုပ်ရန် "UPDATE...RETURNING" ကိုလုပ်ဆောင်သောအခါ မှားယွင်းသောတွက်ချက်မှုများကို ဖယ်ရှားပါ။
- ပိုင်းခြားထားသော ဇယားများကို အသုံးပြု၍ နိုင်ငံခြားကီး ကန့်သတ်ချက်များ ရှိနေသောအခါ "ALTER TABLE ... ALTER CONSTRAINT" အမိန့်ပေးမှု ပျက်ကွက်မှုကို ပြင်ဆင်ပါ။
- "COMMIT AND CHAIN" လုပ်ဆောင်ချက်ကို မြှင့်တင်ထားပါသည်။
- FreeBSD ၏အသစ်ထွက်ရှိမှုများအတွက်၊ fdatasync မုဒ်ကို ယခုမူလအားဖြင့် thatwal_sync_method သို့ သတ်မှတ်ထားသည်။
- vacuum_cleanup_index_scale_factor ကန့်သတ်ဘောင်ကို မူရင်းအတိုင်း ပိတ်ထားသည်။
- TLS ချိတ်ဆက်မှုများကို စတင်သောအခါတွင် ပြုပြင်ထားသော မမ်မိုရီယိုစိမ့်မှုများ။
- အဆင့်မြှင့်၍မရသော အသုံးပြုသူဇယားများတွင် ဒေတာအမျိုးအစားများရှိနေခြင်းအတွက် နောက်ထပ်စစ်ဆေးမှုများကို pg_upgrade တွင် ထည့်သွင်းထားပါသည်။
source: opennet.ru