Correctieve updates zijn gegenereerd voor alle ondersteunde PostgreSQL-branchs: 14.1, 13.5, 12.9, 11.14, 10.19 en 9.6.24. Release 9.6.24 is de laatste update voor branch 9.6, die niet langer wordt ondersteund. Updates voor branch 10 worden gegenereerd tot november 2022, voor branch 11 tot november 2023, voor branch 12 tot november 2024, voor branch 13 tot november 2025 en voor branch 14 tot november 2026.
De nieuwe versies bevatten meer dan 40 bugfixes en verhelpen twee kwetsbaarheden (CVE-2021-23214, CVE-2021-23222) in het serverproces en de libpq-clientbibliotheek. Deze kwetsbaarheden stellen een aanvaller in staat om via een man-in-the-middle (MITM)-aanval in te breken in een versleuteld communicatiekanaal. Voor deze aanval is geen correcte configuratie vereist. SSL-certificaat en kan worden gebruikt tegen systemen die clientauthenticatie met een certificaat vereisen. In de servercontext maakt de aanval SQL-queryvervanging mogelijk tijdens het tot stand brengen van een versleutelde clientverbinding met de PostgreSQL-server. In de libpq-context stelt de kwetsbaarheid een aanvaller in staat een valse serverreactie naar de client te sturen. Gecombineerd maken deze kwetsbaarheden het mogelijk om wachtwoordinformatie of andere gevoelige clientgegevens te extraheren die vroeg in de verbinding worden verzonden.
Daarnaast heeft Yandex een nieuwe versie van zijn Odyssey 1.2 proxyserver uitgebracht, ontworpen om een pool van open verbindingen met het PostgreSQL-databasesysteem te onderhouden en de routering van verzoeken te organiseren. Odyssey ondersteunt het uitvoeren van meerdere workerprocessen met multithreaded handlers, en de richting is ook server Wanneer een client opnieuw verbinding maakt, is het mogelijk om verbindingspools te koppelen aan gebruikers en databases. De code is geschreven in C en wordt gedistribueerd onder de BSD-licentie.
De nieuwe versie van Odyssey biedt bescherming tegen datavervanging na SSL-sessieonderhandeling (waardoor aanvallen met de bovengenoemde kwetsbaarheden CVE-2021-23214 en CVE-2021-23222 geblokkeerd kunnen worden). Ondersteuning voor PAM en LDAP is geïmplementeerd. Integratie met het Prometheus-monitoringsysteem is toegevoegd. De berekening van statistische parameters voor de verwerking van de uitvoeringstijd van transacties en query's is verbeterd.
Bron: opennet.ru
