PostgreSQL अपडेट कमजोरीहरू फिक्स गरियो। ओडिसी जडान ब्यालेन्सर १.२ जारी गरियो

सबै समर्थित PostgreSQL शाखाहरूको लागि सुधारात्मक अद्यावधिकहरू उत्पन्न गरिएको छ: 14.1, 13.5, 12.9, 11.14, 10.19 र 9.6.24। 9.6.24 रिलीज 9.6 शाखाको लागि अन्तिम अपडेट हुनेछ, जुन बन्द गरिएको छ। शाखा १० का लागि अपडेटहरू नोभेम्बर २०२२, ११ - नोभेम्बर २०२३ सम्म, १२ - नोभेम्बर २०२४ सम्म, १३ - नोभेम्बर २०२५ सम्म, १४ - नोभेम्बर २०२६ सम्म उत्पन्न हुनेछन्।

नयाँ संस्करणहरूले सर्भर प्रक्रिया र libpq क्लाइन्ट लाइब्रेरीमा 40 भन्दा बढी फिक्सहरू प्रस्ताव गर्दछ र दुई कमजोरीहरू (CVE-2021-23214, CVE-2021-23222) हटाउँछ। कमजोरीहरूले आक्रमणकर्तालाई MITM आक्रमण मार्फत गुप्तिकरण संचार च्यानलमा प्रवेश गर्न अनुमति दिन्छ। आक्रमणलाई मान्य SSL प्रमाणपत्र आवश्यक पर्दैन र प्रमाणपत्र प्रयोग गरेर ग्राहक प्रमाणीकरण आवश्यक पर्ने प्रणालीहरू विरुद्ध गर्न सकिन्छ। सर्भरको सन्दर्भमा, आक्रमणले तपाईंलाई क्लाइन्टबाट PostgreSQL सर्भरमा इन्क्रिप्टेड जडान स्थापना गर्दा तपाईंको आफ्नै SQL क्वेरी प्रतिस्थापन गर्न अनुमति दिन्छ। libpq को सन्दर्भमा, जोखिमले आक्रमणकर्तालाई ग्राहकलाई बोगस सर्भर प्रतिक्रिया फिर्ता गर्न अनुमति दिन्छ। जब मिलाइन्छ, कमजोरीहरूले ग्राहकको पासवर्ड वा जडानको सुरुमा प्रसारित अन्य संवेदनशील डेटाको बारेमा जानकारी निकाल्न अनुमति दिन्छ।

थप रूपमा, हामी ओडिसी 1.2 प्रोक्सी सर्भरको नयाँ संस्करणको Yandex द्वारा प्रकाशनलाई नोट गर्न सक्छौं, PostgreSQL DBMS मा खुला जडानहरूको पूल कायम गर्न र क्वेरी रूटिङ व्यवस्थित गर्न डिजाइन गरिएको। Odyssey ले बहु-थ्रेडेड ह्यान्डलरहरूसँग बहु कार्यकर्ता प्रक्रियाहरू चलाउन, ग्राहक पुन: जडान गर्दा उही सर्भरमा राउटिङ, र प्रयोगकर्ताहरू र डेटाबेसहरूमा जडान पूलहरू बाँध्ने क्षमतालाई समर्थन गर्दछ। कोड C मा लेखिएको छ र BSD लाइसेन्स अन्तर्गत वितरित छ।

Odyssey को नयाँ संस्करणले SSL सत्र वार्ता गरेपछि डेटा प्रतिस्थापन ब्लक गर्न सुरक्षा थप्छ (माथि उल्लिखित कमजोरीहरू CVE-2021-23214 र CVE-2021-23222 प्रयोग गरेर आक्रमणहरू रोक्न अनुमति दिन्छ)। PAM र LDAP को लागि समर्थन लागू गरिएको छ। Prometheus निगरानी प्रणाली संग एकीकरण थपियो। लेनदेन र क्वेरी कार्यान्वयन समयको लागि खातामा तथ्याङ्क प्यारामिटरहरूको सुधारिएको गणना।

स्रोत: opennet.ru