Er zijn corrigerende updates gegenereerd voor alle ondersteunde PostgreSQL-vertakkingen: 13.4, 12.8, 11.13, 10.18 en 9.6.23. Updates voor tak 9.6 worden gegenereerd tot november 2021, 10 tot november 2022, 11 tot november 2023, 12 tot november 2024, 13 tot november 2025.
De nieuwe versies bieden 75 oplossingen en elimineren de CVE-2021-3677-kwetsbaarheid, waardoor de inhoud van het geheugen van het serverproces kan worden gelezen via een speciaal vervaardigd verzoek. De aanval kan worden uitgevoerd door elke gebruiker die toegang heeft om SQL-query's uit te voeren. Het probleem ondervindt alleen PostgreSQL-takken 11, 12 en 13. Bekende aanvalsvarianten hebben geen invloed op configuraties met de instelling max_worker_processes=0, maar het is mogelijk dat er varianten zijn die niet afhankelijk zijn van deze instelling.
Bron: opennet.ru