Zosintha zowongolera zapangidwira nthambi zonse za PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19, ndi 9.6.24. Kutulutsidwa kwa 9.6.24 kudzakhala kusinthidwa komaliza kwa nthambi ya 9.6, yomwe yathetsedwa. Zosintha za nthambi 10 zidzapangidwa mpaka November 2022, 11 mpaka November 2023, 12 mpaka November 2024, 13 mpaka November 2025, ndi 14 mpaka November 2026.
Mabaibulo atsopanowa amapereka njira zopitilira 40 zokonzera ndi kuthana ndi zovuta ziwiri (CVE-2021-23214, CVE-2021-23222) mu njira ya seva ndi laibulale ya kasitomala wa libpq. Zovuta izi zimalola wowukira kulowa mu njira yolumikizirana yobisika kudzera mu kuukira kwa munthu-mkati-mwa-pakati (MITM). Kuukirako sikufuna njira yoyenera. SSL-satifiketi ndipo ingagwiritsidwe ntchito motsutsana ndi machitidwe omwe amafunikira kutsimikizika kwa kasitomala pogwiritsa ntchito satifiketi. Mu seva, kuukiraku kumalola kusintha kwa SQL query panthawi yokhazikitsa kulumikizana kwa kasitomala wobisika ku seva ya PostgreSQL. Mu libpq, kufooka kumalola wowukira kubwezera yankho labodza la seva kwa kasitomala. Zikaphatikizidwa, kufooka kumeneku kumalola kuchotsa zambiri zachinsinsi kapena deta ina yachinsinsi ya kasitomala yomwe imatumizidwa koyambirira kwa kulumikizana.
Kuphatikiza apo, Yandex yatulutsa mtundu watsopano wa seva yake ya proxy ya Odyssey 1.2, yopangidwa kuti isunge kulumikizana kotseguka ku PostgreSQL DBMS ndikukonzekera njira yopempha. Odyssey imathandizira kuyendetsa njira zambiri za ogwira ntchito ndi othandizira okhala ndi ulusi wambiri, ndipo njira yake ndi iyi. seva Kasitomala akalumikizananso, kuthekera kolumikiza kulumikizana kumawonjezeka kwa ogwiritsa ntchito ndi ma database. Khodiyo imalembedwa mu C ndipo imagawidwa pansi pa layisensi ya BSD.
Mtundu watsopano wa Odyssey umawonjezera chitetezo kuti aletse kusinthidwa kwa data pambuyo pa zokambirana za SSL (izi zimathandiza kuletsa ziwopsezo pogwiritsa ntchito ziwopsezo zomwe tatchulazi CVE-2021-23214 ndi CVE-2021-23222). Thandizo la PAM ndi LDAP lakhazikitsidwa. Kuphatikizana ndi njira yowunikira ya Prometheus yawonjezedwa. Ziwerengero zowerengera nthawi yochita ndi kuyankha mafunso awongoleredwa.
Source: opennet.ru
