Opravné aktualizácie boli vygenerované pre všetky podporované vetvy PostgreSQL: 13.3, 12.7, 11.12, 10.17 a 9.6.22. Aktualizácie pre vetvu 9.6 budú generované do novembra 2021, 10 do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025. Nové vydania odstraňujú tri slabé miesta a opravujú nahromadené chyby.
Chyba zabezpečenia CVE-2021-32027 môže viesť k zápisu do vyrovnávacej pamäte mimo hraníc v dôsledku pretečenia celého čísla počas výpočtov indexu poľa. Manipuláciou s hodnotami poľa v dotazoch SQL môže útočník s prístupom na vykonávanie dotazov SQL zapisovať akékoľvek údaje do ľubovoľnej oblasti pamäte procesu a dosiahnuť vykonanie svojho kódu s právami servera DBMS. Dve ďalšie zraniteľnosti (CVE-2021-32028, CVE-2021-32029) vedú k úniku obsahu pamäte procesu pri manipulácii s požiadavkami „INSERT... ON CONFLICT... DO UPDATE“ a „UPDATE... RETURNING“.
Opravy bez zraniteľnosti zahŕňajú:
- Eliminujte nesprávne výpočty pri vykonávaní „AKTUALIZÁCIE...VRÁTENIE“ na aktualizáciu spojených roztrhaných tabuliek.
- Oprava zlyhania príkazu "ALTER TABLE ... ALTER CONSTRAINT", keď existujú obmedzenia cudzieho kľúča v kombinácii s použitím rozdelených tabuliek.
- Funkcia „COMMIT AND CHAIN“ bola vylepšená.
- Pre nové vydania FreeBSD je teraz režim fdatasync štandardne nastavený na metódu thatwal_sync_method.
- Parameter Vacuum_cleanup_index_scale_factor je predvolene zakázaný.
- Opravené úniky pamäte, ktoré sa vyskytujú pri inicializácii pripojení TLS.
- Do pg_upgrade boli pridané ďalšie kontroly na prítomnosť typov údajov v užívateľských tabuľkách, ktoré nemožno aktualizovať.
Zdroj: opennet.ru