ပံ့ပိုးထားသော PostgreSQL အကိုင်းအခက်အားလုံးအတွက် ပြုပြင်မွမ်းမံမှုများကို ထုတ်ပေးခဲ့သည်- 13.3၊ 12.7၊ 11.12၊ 10.17၊ နှင့် 9.6.22။ 9.6 ဌာနခွဲအတွက် အပ်ဒိတ်များကို နို၀င်ဘာ 2021 ခုနှစ်အထိ၊ 10 ရက်နေ့မှ 2022 ခုနှစ်အထိ၊ 11 နိုဝင်ဘာလ 2023 ခုနှစ်အထိ၊ 12 နိုဝင်ဘာလ 2024 ခုနှစ်အထိ နှင့် 13 ရက်နေ့မှ 2025 ခုနှစ်အထိ ထုတ်ပေးမည်ဖြစ်ပါသည်။ အသစ်ထွက်ရှိမှုများသည် အားနည်းချက် သုံးခုနှင့် စုစည်းထားသော အမှားများကို ပြင်ဆင်ပေးပါသည်။
CVE-2021-32027 အားနည်းချက်သည် array index များကိုတွက်ချက်သည့်အခါ integer overflow ကြောင့် data ရေးသားမှုပြင်ပသို့ ဦးတည်သွားနိုင်သည်။ SQL queries များတွင် array values များကို ခြယ်လှယ်ခြင်းဖြင့် SQL queries ကို execute လုပ်နိုင်သော attacker သည် process memory ၏ arbitrary region သို့ arbitrary data များရေးသားနိုင်ပြီး ၎င်းတို့၏ code ကို privileges များဖြင့် execute လုပ်နိုင်သည်။ ဆာဗာ DBMS။ အခြားအားနည်းချက်နှစ်ခု (CVE-2021-32028၊ CVE-2021-32029) သည် "INSERT … ON CONFLICT … DO UPDATE" နှင့် "UPDATE … RETURNING" query များကို ကိုင်တွယ်သည့်အခါ process memory leaks များကို ဖြစ်ပေါ်စေပါသည်။
အားနည်းချက်မဟုတ်သော ပြင်ဆင်မှုများအနက်၊ အောက်ပါတို့ကို မီးမောင်းထိုးပြနိုင်သည်-
- ပါဝင်ထားသော အပိုင်းပိုင်းခွဲထားသောဇယားများကို အပ်ဒိတ်လုပ်ရန် "UPDATE ... RETURNING" ကို လုပ်ဆောင်သောအခါ မှားယွင်းနေသော တွက်ချက်မှုများကို ပြင်ဆင်ပါ။
- ALTER TABLE အတွက် ပြင်ဆင်ပါ … အပိုင်းပိုင်းခွဲထားသော ဇယားများနှင့် ပေါင်းစည်းထားသော နိုင်ငံခြားသော့ ကန့်သတ်ချက်များ ရှိနေသောအခါတွင် အပြောင်းအလဲ ပြုလုပ်ရန် ကွန်ဖရင့် အမိန့်ပေးမှု မအောင်မြင်ပါ။
- "COMMIT AND CHAIN" လုပ်ဆောင်ချက်ကို မြှင့်တင်ထားပါသည်။
- ယခု အသစ်ထွက်ရှိထားသော FreeBSD သည် fdatasync မုဒ်ကို မူရင်းအတိုင်း thatwal_sync_method သို့ သတ်မှတ်ထားကြောင်း သေချာစေပါသည်။
- vacuum_cleanup_index_scale_factor ကန့်သတ်ဘောင်ကို မူရင်းအတိုင်း ပိတ်ထားသည်။
- TLS ချိတ်ဆက်မှုများကို စတင်သောအခါတွင် ပြုပြင်ထားသော မမ်မိုရီယိုစိမ့်မှုများ။
- pg_upgrade သည် ယခုအခါ အဆင့်မြှင့်၍မရသော ဒေတာအမျိုးအစားများပါ၀င်ကြောင်း သေချာစေရန် အသုံးပြုသူဇယားများအတွက် ထပ်လောင်းစစ်ဆေးမှုများ ပါဝင်သည်။
source: opennet.ru
