Popravne posodobitve so bile ustvarjene za vse podprte veje PostgreSQL: 13.3, 12.7, 11.12, 10.17 in 9.6.22. Posodobitve za vejo 9.6 bodo ustvarjene do novembra 2021, 10 do novembra 2022, 11 do novembra 2023, 12 do novembra 2024, 13 do novembra 2025. Nove izdaje odpravljajo tri ranljivosti in popravljajo nakopičene napake.
Ranljivost CVE-2021-32027 lahko povzroči pisanje v medpomnilnik izven meja zaradi prekoračitve celega števila med izračuni indeksa polja. Z manipulacijo matričnih vrednosti v poizvedbah SQL lahko napadalec z dostopom do izvajanja poizvedb SQL zapiše poljubne podatke v poljubno območje procesnega pomnilnika in doseže izvedbo svoje kode s pravicami strežnika DBMS. Dve drugi ranljivosti (CVE-2021-32028, CVE-2021-32029) vodita do uhajanja vsebine pomnilnika procesa pri manipulaciji zahtev "INSERT ... ON CONFLICT ... DO UPDATE" in "UPDATE ... RETURNING".
Popravki, ki niso ranljivi, vključujejo:
- Odpravite nepravilne izračune pri izvajanju »POSODOBITEV ... VRAČANJE« za posodobitev združenih razdeljenih tabel.
- Odpravite napako ukaza »ALTER TABLE ... ALTER CONSTRAINT«, ko obstajajo omejitve tujega ključa v kombinaciji z uporabo particioniranih tabel.
- Funkcionalnost »OBVEZI IN VERIŽI« je bila izboljšana.
- Za nove izdaje FreeBSD je način fdatasync zdaj privzeto nastavljen na thatwal_sync_method.
- Parameter vacuum_cleanup_index_scale_factor je privzeto onemogočen.
- Odpravljeno puščanje pomnilnika, ki se pojavi pri inicializaciji povezav TLS.
- V pg_upgrade so bila dodana dodatna preverjanja glede prisotnosti tipov podatkov v uporabniških tabelah, ki jih ni mogoče nadgraditi.
Vir: opennet.ru