Au fost generate actualizări corective pentru toate ramurile PostgreSQL acceptate: 13.3, 12.7, 11.12, 10.17 și 9.6.22. Actualizările pentru ramura 9.6 vor fi generate până în noiembrie 2021, 10 până în noiembrie 2022, 11 până în noiembrie 2023, 12 până în noiembrie 2024, 13 până în noiembrie 2025. Noile versiuni elimină trei vulnerabilități și remediază erorile acumulate.
Vulnerabilitatea CVE-2021-32027 poate duce la o scriere depășită din buffer din cauza unei depășiri întregi în timpul calculelor indexului matricei. Prin manipularea valorilor matricei în interogările SQL, un atacator cu acces pentru a executa interogări SQL poate scrie orice date într-o zonă arbitrară a memoriei de proces și poate realiza executarea codului său cu drepturile serverului DBMS. Alte două vulnerabilități (CVE-2021-32028, CVE-2021-32029) duc la scurgerea conținutului memoriei procesului la manipularea solicitărilor „INSERT ... ON CONFLICT ... DO UPDATE” și „UPDATE ... RETURNING”.
Soluțiile de non-vulnerabilitate includ:
- Eliminați calculele incorecte atunci când efectuați „UPDATE...RETURNING” pentru a actualiza tabelele sharded unite.
- Remediați eșecul comenzii „ALTER TABLE ... ALTER CONSTRAINT” atunci când există constrângeri de cheie străină în combinație cu utilizarea tabelelor partiționate.
- Funcționalitatea „COMMIT AND CHAIN” a fost îmbunătățită.
- Pentru noile versiuni ale FreeBSD, modul fdatasync este acum setat la thatwal_sync_method implicit.
- Parametrul vacuum_cleanup_index_scale_factor este dezactivat implicit.
- S-au remediat scurgerile de memorie care apar la inițializarea conexiunilor TLS.
- Au fost adăugate verificări suplimentare la pg_upgrade pentru prezența tipurilor de date în tabelele de utilizatori care nu pot fi actualizate.
Sursa: opennet.ru