Opravné aktualizácie boli vygenerované pre všetky podporované vetvy PostgreSQL: 13.4, 12.8, 11.13, 10.18 a 9.6.23. Aktualizácie pre pobočku 9.6 budú generované do novembra 2021, 10 do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025.
Nové verzie ponúkajú 75 opráv a odstraňujú zraniteľnosť CVE-2021-3677, ktorá umožňuje čítanie obsahu pamäte serverového procesu prostredníctvom špeciálne pripravenej požiadavky. Útok môže vykonať ktorýkoľvek používateľ s prístupom na vykonávanie SQL dotazov. Problémom sú ovplyvnené iba vetvy PostgreSQL 11, 12 a 13. Známe varianty útoku neovplyvňujú konfigurácie s nastavením max_worker_processes=0, ale je možné, že môžu existovať varianty, ktoré na tomto nastavení nezávisia.
Zdroj: opennet.ru