Wygenerowano aktualizacje naprawcze dla wszystkich obsługiwanych gałęzi PostgreSQL: 13.4, 12.8, 11.13, 10.18 i 9.6.23. Aktualizacje dla gałęzi 9.6 powstaną do listopada 2021, 10 - do listopada 2022, 11 - do listopada 2023, 12 - do listopada 2024, 13 - do listopada 2025.
Nowe wersje oferują 75 poprawek i eliminują lukę CVE-2021-3677, która umożliwia odczytanie zawartości pamięci procesów serwera poprzez wykonanie specjalnie spreparowanego żądania. Atak może zostać przeprowadzony przez dowolnego użytkownika posiadającego uprawnienia do wykonywania zapytań SQL. Problem dotyczy tylko gałęzi PostgreSQL 11, 12 i 13. Znane warianty ataków nie wpływają na konfiguracje z ustawieniem max_worker_processes=0, ale możliwe, że istnieją warianty niezależne od tego ustawienia.
Źródło: opennet.ru