Opravné aktualizácie boli vygenerované pre všetky podporované vetvy PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 a 9.6.24. Vydanie 9.6.24 bude poslednou aktualizáciou pre zastaranú vetvu 9.6. Aktualizácie pre vetvu 10 budú generované do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025, 14 do novembra 2026.
Nové verzie ponúkajú viac ako 40 opráv a opravujú dve zraniteľnosti (CVE-2021-23214, CVE-2021-23222) v serverovom procese a v klientskej knižnici libpq. Zraniteľnosť umožňuje útočníkovi preniknúť do šifrovaného komunikačného kanála prostredníctvom útoku MITM. Útok nevyžaduje platný certifikát SSL a môže byť vykonaný proti systémom, ktoré vyžadujú overenie klienta certifikátom. V kontexte servera útok umožňuje nahradenie vlastného SQL dotazu v čase nadviazania šifrovaného spojenia medzi klientom a PostgreSQL serverom. V kontexte knižnice libpq táto zraniteľnosť umožňuje útočníkovi vrátiť klientovi fiktívnu odpoveď servera. Spoločne tieto zraniteľnosti umožňujú extrakciu informácií o hesle alebo iných citlivých klientskych údajoch prenášaných v počiatočnej fáze pripojenia.
Okrem toho si môžeme všimnúť, že spoločnosť Yandex zverejnila novú verziu proxy servera Odyssey 1.2, ktorá je navrhnutá na udržiavanie fondu otvorených pripojení k PostgreSQL DBMS a organizovanie smerovania požiadaviek. Odyssey podporuje spustenie viacerých pracovných procesov s viacvláknovými obslužnými programami, nasmerovanie na rovnaký server, keď sa klient znova pripojí, schopnosť viazať fondy pripojení na používateľov a databázy. Kód je napísaný v jazyku C a distribuovaný pod licenciou BSD.
Nová verzia Odyssey pridáva ochranu na blokovanie nahrádzania údajov po vyjednávaní relácie SSL (umožňuje blokovať útoky pomocou vyššie uvedených zraniteľností CVE-2021-23214 a CVE-2021-23222). Implementovaná podpora pre PAM a LDAP. Pridaná integrácia s monitorovacím systémom Prometheus. Vylepšený výpočet parametrov štatistiky na zohľadnenie času vykonania transakcií a dopytov.
Zdroj: opennet.ru