اصلاحي تازه معلومات د ټولو ملاتړ شوي PostgreSQL څانګو لپاره رامینځته شوي: 14.1، 13.5، 12.9، 11.14، 10.19 او 9.6.24. د 9.6.24 خوشې کول به د 9.6 څانګې لپاره وروستی تازه وي، کوم چې بند شوی. د شاخ 10 لپاره تازه معلومات به د 2022 تر نومبر پورې، 11 - تر نومبر 2023 پورې، 12 - تر نومبر 2024، 13 - تر نومبر 2025، 14 - تر نومبر 2026 پورې تولید شي.
نوې نسخې له 40 څخه ډیر اصلاحات وړاندیز کوي او دوه زیانونه له مینځه وړي (CVE-2021-23214, CVE-2021-23222) د سرور پروسې او libpq مراجع کتابتون کې. زیان منونکي برید کونکي ته اجازه ورکوي چې د MITM برید له لارې کوډ شوي ارتباطي چینل ته ننوځي. برید د اعتبار وړ SSL سند ته اړتیا نلري او د سیسټمونو پروړاندې ترسره کیدی شي چې د سند په کارولو سره د پیرودونکي تصدیق ته اړتیا لري. د سرور په شرایطو کې، برید تاسو ته اجازه درکوي چې د پیرودونکي څخه د PostgreSQL سرور ته د کوډ شوي پیوستون رامینځته کولو په وخت کې خپله د SQL پوښتنې ځای په ځای کړئ. د libpq په شرایطو کې، زیانمنونکي برید کونکي ته اجازه ورکوي چې پیرودونکي ته د جعلي سرور ځواب بیرته راولي. کله چې یوځای شي، زیانمننې اجازه ورکوي د پیرودونکي پټنوم یا نور حساس ډیټا په اړه معلومات چې د ارتباط په پیل کې لیږدول شوي استخراج شي.
برسیره پردې، موږ کولی شو د Yandex لخوا د Odyssey 1.2 پراکسي سرور نوې نسخه خپرونه یادونه وکړو، چې د PostgreSQL DBMS سره د پرانیستې اړیکو حوض ساتلو او د پوښتنو الرې تنظیمولو لپاره ډیزاین شوی. اوډیسي د څو تریډ شوي هینډلرونو سره د ډیری کارګر پروسو چلولو ملاتړ کوي ، ورته سرور ته لاره کول کله چې یو پیرودونکي بیا وصل شي ، او کاروونکو او ډیټابیسونو ته د پیوستون حوضونو تړلو وړتیا. کوډ په C کې لیکل شوی او د BSD جواز لاندې ویشل شوی.
د اوډیسي نوې نسخه د SSL سیشن خبرو اترو وروسته د ډیټا بدیل بلاک کولو لپاره محافظت اضافه کوي (تاسو ته اجازه درکوي د پورته ذکر شوي زیانونو CVE-2021-23214 او CVE-2021-23222 په کارولو سره بریدونه بند کړئ). د PAM او LDAP لپاره ملاتړ پلي شوی. د Prometheus څارنې سیسټم سره یوځای کول. د احصایې پیرامیټرونو ښه محاسبه ترڅو د لیږد او پوښتنو اجرا کولو وخت حساب کړي.
سرچینه: opennet.ru