Korrigerende oppdateringer er generert for alle støttede PostgreSQL-grener: 14.1, 13.5, 12.9, 11.14, 10.19 og 9.6.24. Utgivelse 9.6.24 vil være den siste oppdateringen for 9.6-grenen, som har blitt avviklet. Oppdateringer for filial 10 vil bli generert frem til november 2022, 11 - til november 2023, 12 - til november 2024, 13 - til november 2025, 14 - til november 2026.
De nye versjonene tilbyr mer enn 40 rettelser og eliminerer to sårbarheter (CVE-2021-23214, CVE-2021-23222) i serverprosessen og libpq-klientbiblioteket. Sårbarhetene lar en angriper bryte seg inn i en kryptert kommunikasjonskanal gjennom et MITM-angrep. Angrepet krever ikke et gyldig SSL-sertifikat og kan utføres mot systemer som krever klientautentisering ved hjelp av et sertifikat. I forbindelse med serveren lar angrepet deg erstatte din egen SQL-spørring på tidspunktet for etablering av en kryptert forbindelse fra klienten til PostgreSQL-serveren. I sammenheng med libpq tillater sårbarheten en angriper å returnere et falsk serversvar til klienten. Når de kombineres, tillater sårbarhetene å trekke ut informasjon om en klients passord eller andre sensitive data som er overført tidlig i forbindelsen.
I tillegg kan vi legge merke til publiseringen av Yandex av en ny versjon av Odyssey 1.2 proxy-serveren, designet for å opprettholde en pool av åpne forbindelser til PostgreSQL DBMS og organisere spørringsruting. Odyssey støtter kjøring av flere arbeidsprosesser med flertrådede behandlere, ruting til samme server når en klient kobler til på nytt, og muligheten til å binde tilkoblingspooler til brukere og databaser. Koden er skrevet i C og distribuert under BSD-lisensen.
Den nye versjonen av Odyssey legger til beskyttelse for å blokkere dataerstatning etter å ha forhandlet en SSL-økt (lar deg blokkere angrep ved å bruke de ovennevnte sårbarhetene CVE-2021-23214 og CVE-2021-23222). Støtte for PAM og LDAP er implementert. Lagt til integrasjon med Prometheus overvåkingssystem. Forbedret beregning av statistikkparametere for å ta hensyn til transaksjons- og spørringsutførelsestider.
Kilde: opennet.ru