O fa'afouga fa'asa'o ua fa'atupuina mo lala uma PostgreSQL lagolago: 14.1, 13.5, 12.9, 11.14, 10.19 ma le 9.6.24. Tu'u 9.6.24 o le a avea ma fa'afouga mulimuli mo le lala 9.6, lea ua fa'agata. O fa'afouga mo le lala 10 o le a fa'atupuina se'ia o'o ia Novema 2022, 11 - se'ia Novema 2023, 12 - se'ia Novema 2024, 13 - se'ia Novema 2025, 14 - se'ia Novema 2026.
O lomiga fou e ofoina atu le sili atu i le 40 faʻamautu ma faʻaumatia ni faʻafitauli se lua (CVE-2021-23214, CVE-2021-23222) i le faʻaogaina o le server ma le libpq client library. O faʻafitauli faʻaletonu e mafai ai e se tagata osofaʻi ona malepe i totonu o se auala fesoʻotaʻiga faʻailoga e ala i se osofaʻiga a le MITM. O le osofaʻiga e le manaʻomia se tusi faamaonia SSL faʻamaonia ma e mafai ona faʻatinoina faʻasaga i faiga e manaʻomia ai le faʻamaonia o tagata e faʻaaoga ai se tusi faamaonia. I le tulaga o le 'auʻaunaga, o le osofaʻiga e mafai ai ona e suitulaga i lau lava fesili SQL i le taimi o le faʻavaeina o se fesoʻotaʻiga faʻailoga mai le kalani i le PostgreSQL server. I le tulaga o le libpq, o le faʻafitauli e mafai ai e se tagata osofaʻi ona toe faʻafoʻi se tali a le server pepelo i le kalani. A tu'ufa'atasia, o fa'aletonu e fa'ataga ai fa'amatalaga e uiga i le fa'aupuga a le tagata o tausia po'o isi fa'amatalaga ma'ale'ale e tu'uina atu i le amataga o le feso'ota'iga e aveese mai.
E le gata i lea, e mafai ona matou matauina le lomiga a Yandex o se lomiga fou o le Odyssey 1.2 proxy server, ua fuafuaina e faatumauina se vaitaele o fesoʻotaʻiga matala i le PostgreSQL DBMS ma faʻatulagaina le faʻasologa o fesili. E lagolagoina e Odyssey le fa'agaoioia o le tele o tagata faigaluega fa'atasi ai ma le tele o filo, fa'asolo atu i le server lava e tasi pe a toe fa'afeso'ota'i le tagata fa'atau, ma le mafai ona fusifusia vaita'ele feso'ota'iga i tagata fa'aoga ma fa'amaumauga. O le code e tusia i le C ma tufatufaina i lalo ole laisene BSD.
O le lomiga fou o le Odyssey e faʻaopoopoina le puipuiga e poloka ai faʻamatalaga suiga pe a uma ona faʻatalanoaina se sauniga SSL (faʻatagaina oe e poloka osofaʻiga e faʻaaoga ai faʻafitauli o loʻo taʻua i luga CVE-2021-23214 ma CVE-2021-23222). Ua fa'atinoina le lagolago mo le PAM ma le LDAP. Faʻaopoopo faʻatasi ma le Prometheus mataʻituina faiga. Fa'aleleia le fa'atatauga o fa'amaumauga fa'amaumauga e fa'atatau mo fefa'ataua'iga ma taimi fa'ataunu'u fesili.
puna: opennet.ru