Wygenerowano aktualizacje korygujące dla wszystkich obsługiwanych gałęzi PostgreSQL: 14.3, 13.7, 12.11, 11.16 i 10.22. Zbliża się koniec wsparcia dla gałęzi 10.x (aktualizacje będą generowane do listopada 2022). Wydanie aktualizacji dla gałęzi 11.x potrwa do listopada 2023, 12.x do listopada 2024, 13.x do listopada 2025, 14.x do listopada 2026.
Nowe wersje oferują ponad 50 poprawek i eliminują lukę CVE-2022-1552 związaną z możliwością ominięcia izolacji wykonywania operacji uprzywilejowanych Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER i pg_amcheck. Osoba atakująca mająca uprawnienia do tworzenia obiektów nietymczasowych w dowolnym schemacie przechowywania może spowodować wykonanie dowolnych funkcji SQL z uprawnieniami roota, podczas gdy użytkownik uprzywilejowany wykonuje powyższe operacje mające wpływ na obiekt atakującego. W szczególności wykorzystanie luki może nastąpić podczas automatycznego czyszczenia bazy danych podczas wykonywania procedury obsługi autovacuum.
Jeśli aktualizacja nie jest możliwa, obejście problemu polega na wyłączeniu automatycznej próżni i niewykonywaniu operacji REINDEX, CREATE INDEX, ODŚWIEŻ WIDOK ZMATERIALIZOWANY i CLUSTER jako użytkownik root oraz nie uruchamiaj pg_amcheck ani nie przywracaj zawartości z kopii zapasowej utworzonej przez pg_dump . Wykonanie VACUUM jest uważane za bezpieczne, podobnie jak każda operacja polecenia, o ile przetwarzane obiekty należą do zaufanych użytkowników.
Inne zmiany w nowych wersjach obejmują aktualizację kodu JIT do współpracy z LLVM 14, umożliwienie korzystania z szablonów Database.schema.table w narzędziach psql, pg_dump i pg_amcheck, naprawienie problemów prowadzących do uszkodzenia indeksów GiST w kolumnach ltree, nieprawidłowe zaokrąglanie wartości w formacie epoka wyodrębnionych z danych interwałowych, nieprawidłowe działanie harmonogramu w przypadku korzystania z asynchronicznych zapytań zdalnych, nieprawidłowe sortowanie wierszy tabeli w przypadku korzystania z wyrażenia CLUSTER na indeksach z kluczami opartymi na wyrażeniach, utrata danych na skutek nieprawidłowego zakończenia bezpośrednio po konstruowanie posortowanego indeksu GiST, zakleszczenie podczas usuwania indeksu partycjonowanego, sytuacja wyścigu pomiędzy operacją DROP TABLESPACE a punktem kontrolnym.
Dodatkowo możemy odnotować wydanie rozszerzenia pg_ivm 1.0 z implementacją obsługi IVM (Increasal View Maintenance) dla PostgreSQL 14. IVM oferuje alternatywny sposób aktualizacji zmaterializowanych widoków, bardziej skuteczny, jeśli zmiany dotyczą małej części widoku. IVM umożliwia natychmiastowe odświeżenie zmaterializowanych widoków za pomocą jedynie przyrostowych zmian, bez konieczności ponownego obliczania widoku za pomocą operacji ODŚWIEŻ WIDOK ZMATERIALIZOWANY.
Źródło: opennet.ru