Wygenerowano aktualizacje korygujące dla wszystkich obsługiwanych gałęzi PostgreSQL: 13.3, 12.7, 11.12, 10.17 i 9.6.22. Aktualizacje dla gałęzi 9.6 będą generowane do listopada 2021, 10 do listopada 2022, 11 do listopada 2023, 12 do listopada 2024, 13 do listopada 2025. Nowe wersje eliminują trzy luki i naprawiają narosłe błędy.
Luka CVE-2021-32027 może skutkować zapisem bufora poza zakresem z powodu przepełnienia liczby całkowitej podczas obliczeń indeksu tablicy. Manipulując wartościami tablic w zapytaniach SQL, atakujący posiadający dostęp do wykonywania zapytań SQL może zapisać dowolne dane w dowolnym obszarze pamięci procesu i osiągnąć wykonanie swojego kodu z uprawnieniami serwera DBMS. Dwie inne luki (CVE-2021-32028, CVE-2021-32029) prowadzą do wycieku zawartości pamięci procesu podczas manipulacji żądaniami „INSERT… ON CONFLICT… DO UPDATE” i „UPDATE… RETURNING”.
Poprawki niezwiązane z lukami obejmują:
- Wyeliminuj nieprawidłowe obliczenia podczas wykonywania „AKTUALIZACJA...POWRÓT” w celu aktualizacji połączonych tabel podzielonych na fragmenty.
- Napraw błąd polecenia „ALTER TABLE ... ALTER CONSTRAINT”, gdy istnieją ograniczenia klucza obcego w połączeniu z użyciem partycjonowanych tabel.
- Udoskonalono funkcjonalność „COMMIT AND CHAIN”.
- W nowych wydaniach FreeBSD tryb fdatasync jest teraz domyślnie ustawiony na thatwal_sync_method.
- Parametr Vacuum_cleanup_index_scale_factor jest domyślnie wyłączony.
- Naprawiono wycieki pamięci występujące podczas inicjowania połączeń TLS.
- Do pg_upgrade dodano dodatkowe kontrole pod kątem obecności typów danych w tabelach użytkowników, których nie można zaktualizować.
Źródło: opennet.ru