Korrigerende oppdateringer er generert for alle støttede PostgreSQL-grener: 13.3, 12.7, 11.12, 10.17 og 9.6.22. Oppdateringer for filial 9.6 vil bli generert frem til november 2021, 10 til november 2022, 11 til november 2023, 12 til november 2024, 13 til november 2025. De nye utgivelsene eliminerer tre sårbarheter og fikser akkumulerte feil.
Sårbarhet CVE-2021-32027 kan føre til en bufferskriving utenfor grensene på grunn av et heltallsoverløp under beregninger av matriseindeks. Ved å manipulere matriseverdier i SQL-spørringer kan en angriper med tilgang til å utføre SQL-spørringer skrive alle data til et vilkårlig område av prosessminne og oppnå utførelse av koden hans med rettighetene til DBMS-serveren. To andre sårbarheter (CVE-2021-32028, CVE-2021-32029) fører til lekkasje av prosessminneinnhold ved manipulering av "INSERT ... ON CONFLICT ... DO UPDATE" og "UPDATE ... RETURNING"-forespørsler.
Ikke-sårbarhetsrettinger inkluderer:
- Eliminer ukorrekte beregninger når du utfører "OPPDATERING...RETURNERING" for å oppdatere sammenføyde tabeller.
- Rett opp "ALTER TABLE ... ALTER CONSTRAINT" kommandofeil når det er fremmednøkkelbegrensninger i kombinasjon med bruk av partisjonerte tabeller.
- «COMMIT AND CHAIN»-funksjonaliteten er forbedret.
- For nye utgivelser av FreeBSD er fdatasync-modusen nå satt til thatwal_sync_method som standard.
- Vacuum_cleanup_index_scale_factor-parameteren er deaktivert som standard.
- Rettet minnelekkasjer som oppstår ved initialisering av TLS-tilkoblinger.
- Ytterligere kontroller er lagt til pg_upgrade for tilstedeværelsen av datatyper i brukertabeller som ikke kan oppgraderes.
Kilde: opennet.ru