Atualizações corretivas foram geradas para todas as ramificações suportadas do PostgreSQL: 13.3, 12.7, 11.12, 10.17 e 9.6.22. As atualizações para o branch 9.6 serão geradas até novembro de 2021, 10 até novembro de 2022, 11 até novembro de 2023, 12 até novembro de 2024, 13 até novembro de 2025. As novas versões eliminam três vulnerabilidades e corrigem erros acumulados.
A vulnerabilidade CVE-2021-32027 pode resultar em uma gravação de buffer fora dos limites devido a um estouro de número inteiro durante os cálculos do índice da matriz. Ao manipular valores de array em consultas SQL, um invasor com acesso para executar consultas SQL pode gravar quaisquer dados em uma área arbitrária da memória do processo e executar seu código com os direitos do servidor DBMS. Duas outras vulnerabilidades (CVE-2021-32028, CVE-2021-32029) levam ao vazamento do conteúdo da memória do processo ao manipular solicitações “INSERT ... ON CONFLICT ... DO UPDATE” e “UPDATE ... RETURNING”.
As correções de não vulnerabilidade incluem:
- Elimine cálculos incorretos ao executar "UPDATE...RETURNING" para atualizar tabelas fragmentadas unidas.
- Corrija a falha do comando "ALTER TABLE ... ALTER CONSTRAINT" quando há restrições de chave estrangeira em combinação com o uso de tabelas particionadas.
- A funcionalidade “COMMIT AND CHAIN” foi melhorada.
- Para novas versões do FreeBSD, o modo fdatasync agora está definido como thatwal_sync_method por padrão.
- O parâmetro Vacuum_cleanup_index_scale_factor está desabilitado por padrão.
- Corrigidos vazamentos de memória que ocorriam ao inicializar conexões TLS.
- Verificações adicionais foram adicionadas ao pg_upgrade quanto à presença de tipos de dados em tabelas de usuários que não podem ser atualizadas.
Fonte: opennet.ru