Er zijn corrigerende updates gegenereerd voor alle ondersteunde PostgreSQL-vertakkingen: 13.3, 12.7, 11.12, 10.17 en 9.6.22. Updates voor tak 9.6 worden gegenereerd tot november 2021, 10 tot november 2022, 11 tot november 2023, 12 tot november 2024, 13 tot november 2025. De nieuwe releases elimineren drie kwetsbaarheden en herstellen de opeenstapeling van fouten.
Het beveiligingslek CVE-2021-32027 kan ertoe leiden dat de buffer buiten het bereik wordt geschreven als gevolg van een overflow van gehele getallen tijdens berekeningen van de array-index. Door arraywaarden in SQL-query's te manipuleren, kan een aanvaller met toegang om SQL-query's uit te voeren alle gegevens naar een willekeurig gebied van het procesgeheugen schrijven en de uitvoering van zijn code bewerkstelligen met de rechten van de DBMS-server. Twee andere kwetsbaarheden (CVE-2021-32028, CVE-2021-32029) leiden tot het lekken van de inhoud van het procesgeheugen bij het manipuleren van “INSERT ... ON CONFLICT … DO UPDATE” en “UPDATE … RETURNING” verzoeken.
Oplossingen voor niet-kwetsbaarheid zijn onder meer:
- Elimineer onjuiste berekeningen bij het uitvoeren van "UPDATE...RETURNING" om samengevoegde shardtabellen bij te werken.
- Oplossing voor het mislukken van de opdracht "ALTER TABLE... ALTER CONSTRAINT" wanneer er beperkingen voor refererende sleutels zijn in combinatie met het gebruik van gepartitioneerde tabellen.
- De functionaliteit “COMMIT AND CHAIN” is verbeterd.
- Voor nieuwe releases van FreeBSD is de fdatasync-modus nu standaard ingesteld op thatwal_sync_method.
- De parameter vacuum_cleanup_index_scale_factor is standaard uitgeschakeld.
- Geheugenlekken opgelost die optreden bij het initialiseren van TLS-verbindingen.
- Er zijn extra controles toegevoegd aan pg_upgrade voor de aanwezigheid van gegevenstypen in gebruikerstabellen die niet kunnen worden geüpgraded.
Bron: opennet.ru