Wygenerowano aktualizacje korygujące dla wszystkich obsługiwanych gałęzi PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 i 9.6.24. Wersja 9.6.24 będzie ostatnią aktualizacją dla gałęzi 9.6, która została wycofana. Aktualizacje dla gałęzi 10 będą generowane do listopada 2022, 11 - do listopada 2023, 12 - do listopada 2024, 13 - do listopada 2025, 14 - do listopada 2026.
Nowe wersje oferują ponad 40 poprawek i eliminują dwie luki (CVE-2021-23214, CVE-2021-23222) w procesie serwera i bibliotece klienta libpq. Luki umożliwiają atakującemu włamanie się do zaszyfrowanego kanału komunikacyjnego poprzez atak MITM. Atak nie wymaga ważnego certyfikatu SSL i może zostać przeprowadzony na systemy wymagające uwierzytelnienia klienta za pomocą certyfikatu. W kontekście serwera atak pozwala na podstawienie własnego zapytania SQL w momencie nawiązania szyfrowanego połączenia od klienta do serwera PostgreSQL. W kontekście libpq luka umożliwia atakującemu zwrócenie klientowi fałszywej odpowiedzi serwera. Połączone luki umożliwiają wyodrębnienie informacji o haśle klienta lub innych wrażliwych danych przesyłanych na początku połączenia.
Dodatkowo możemy odnotować publikację przez Yandex nowej wersji serwera proxy Odyssey 1.2, zaprojektowanego do utrzymywania puli otwartych połączeń z DBMS PostgreSQL i organizowania routingu zapytań. Odyssey obsługuje uruchamianie wielu procesów roboczych za pomocą wielowątkowych procedur obsługi, routing do tego samego serwera po ponownym połączeniu klienta oraz możliwość wiązania pul połączeń z użytkownikami i bazami danych. Kod napisany jest w języku C i rozpowszechniany na licencji BSD.
Nowa wersja Odyssey dodaje ochronę polegającą na blokowaniu podmiany danych po wynegocjowaniu sesji SSL (pozwala blokować ataki z wykorzystaniem wspomnianych wyżej podatności CVE-2021-23214 i CVE-2021-23222). Wdrożono obsługę PAM i LDAP. Dodano integrację z systemem monitorowania Prometheus. Poprawione obliczanie parametrów statystycznych w celu uwzględnienia czasu wykonania transakcji i zapytań.
Źródło: opennet.ru