Magadzirirwo ekugadzirisa akagadzirwa kune ese anotsigirwa PostgreSQL mapazi: 14.1, 13.5, 12.9, 11.14, 10.19 uye 9.6.24. Kuburitswa 9.6.24 ichava yekupedzisira kugadzirisa kwebazi re9.6, iro rakamiswa. Zvigadziriso zvebazi 10 zvichagadzirwa kusvika Mbudzi 2022, 11 - kusvika Mbudzi 2023, 12 - kusvika Mbudzi 2024, 13 - kusvika Mbudzi 2025, 14 - kusvika Mbudzi 2026.
Idzi shanduro itsva dzinopa zvinopfuura makumi mana zvigadziriso uye kubvisa kusagadzikana kuviri (CVE-40-2021, CVE-23214-2021) mune server process uye libpq mutengi raibhurari. Kusagadzikana kunobvumira munhu anorwisa kuti apinde munzira yakavharidzirwa yekukurukurirana kuburikidza neMITM kurwisa. Kurwiswa kwacho hakudi chitupa cheSSL chakatendeka uye chinogona kuitwa zvichipesana nemasisitimu anoda kutenderwa nemutengi uchishandisa chitupa. Muchirevo chesevha, kurwiswa kunobvumira iwe kutsiva yako SQL mubvunzo panguva yekumisikidza yakavanzika yekubatanidza kubva kumutengi kuenda kuPostgreSQL server. Muchirevo che libpq, kusazvibata kunobvumira anorwisa kudzosera bogus server mhinduro kumutengi. Kana zvabatanidzwa, kusazvibata kunobvumira ruzivo nezve password yemutengi kana imwe data inonzwisisika inofambiswa nekukurumidza mukubatana kuti ibudiswe.
Pamusoro pezvo, tinogona kucherechedza kuburitswa neYandex kweshanduro itsva yeOdyssey 1.2 proxy server, yakagadzirirwa kuchengetedza dziva rekubatanidza rakavhurika kuPostgreSQL DBMS uye kuronga nzira yekubvunza. Odyssey inotsigira kumhanyisa maitiro evashandi akawanda ane akawanda-akarukwa zvibatiso, kuendesa kune imwechete sevha kana mutengi abatanidzazve, uye kugona kusunga dziva dzekubatanidza kune vashandisi uye dhatabhesi. Iyo kodhi yakanyorwa muC uye yakagoverwa pasi peiyo BSD rezinesi.
Iyo nyowani vhezheni yeOdyssey inowedzera dziviriro kuvharira kutsiva data mushure mekutaurirana musangano weSSL (inobvumidza iwe kuvharira kurwiswa uchishandisa hutachiona hwataurwa pamusoro CVE-2021-23214 uye CVE-2021-23222). Tsigiro yePAM neLDAP yaitwa. Yakawedzera kubatanidzwa nePrometheus yekutarisa system. Kuverengera kwakakwenenzverwa kwezviverengero parameter kuti chizvidavirire nokuda kwekutengeserana uye nguva dzekuita mibvunzo.
Source: opennet.ru