Popravne posodobitve so bile ustvarjene za vse podprte veje PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 in 9.6.24. Izdaja 9.6.24 bo zadnja posodobitev za vejo 9.6, ki je bila ukinjena. Posodobitve za vejo 10 bodo ustvarjene do novembra 2022, 11 - do novembra 2023, 12 - do novembra 2024, 13 - do novembra 2025, 14 - do novembra 2026.
Nove različice ponujajo več kot 40 popravkov in odpravljajo dve ranljivosti (CVE-2021-23214, CVE-2021-23222) v procesu strežnika in odjemalski knjižnici libpq. Ranljivosti napadalcu omogočajo vdor v šifriran komunikacijski kanal z napadom MITM. Napad ne zahteva veljavnega potrdila SSL in se lahko izvede proti sistemom, ki zahtevajo avtentikacijo odjemalca s potrdilom. V kontekstu strežnika vam napad omogoča, da zamenjate lastno poizvedbo SQL v času vzpostavljanja šifrirane povezave od odjemalca do strežnika PostgreSQL. V kontekstu libpq ranljivost omogoča napadalcu, da odjemalcu vrne lažni odgovor strežnika. V kombinaciji ranljivosti omogočajo ekstrahiranje informacij o odjemalčevem geslu ali drugih občutljivih podatkih, poslanih zgodaj v povezavi.
Poleg tega lahko opazimo, da je Yandex objavil novo različico proxy strežnika Odyssey 1.2, zasnovanega za vzdrževanje skupine odprtih povezav do DBMS PostgreSQL in organiziranje usmerjanja poizvedb. Odyssey podpira izvajanje več delovnih procesov z večnitnimi upravljalniki, usmerjanje na isti strežnik, ko se odjemalec ponovno poveže, in možnost povezovanja povezovalnih skupin z uporabniki in bazami podatkov. Koda je napisana v C in se distribuira pod licenco BSD.
Nova različica Odyssey dodaja zaščito za blokiranje zamenjave podatkov po pogajanjih o seji SSL (omogoča blokiranje napadov z uporabo zgoraj omenjenih ranljivosti CVE-2021-23214 in CVE-2021-23222). Implementirana je podpora za PAM in LDAP. Dodana integracija z nadzornim sistemom Prometheus. Izboljšan izračun statističnih parametrov za upoštevanje časa izvedbe transakcije in poizvedbe.
Vir: opennet.ru