Cusboonaysiinta saxda ah ayaa loo soo saaray dhammaan laamaha PostgreSQL ee la taageeray: 14.1, 13.5, 12.9, 11.14, 10.19 iyo 9.6.24. Siideynta 9.6.24 ayaa noqon doonta cusbooneysiintii ugu dambeysay ee laanta 9.6, ee la joojiyay. Cusboonaysiinta laanta 10 ayaa la soo saari doonaa ilaa Noofambar 2022, 11 - ilaa Noofambar 2023, 12 - ilaa Noofambar 2024, 13 - ilaa Noofambar 2025, 14 - ilaa Noofambar 2026.
Noocyada cusubi waxay bixiyaan in ka badan 40 hagaajin waxayna meesha ka saarayaan laba dayacan (CVE-2021-23214, CVE-2021-23222) ee habka serverka iyo maktabadda macmiilka libpq. Nuglaanshaha ayaa u oggolaanaya weeraryahan inuu jebiyo kanaalka isgaarsiineed sir ah isagoo u maraya weerarka MITM. Weerarku uma baahna shahaado SSL oo sax ah waxaana lagu fulin karaa nidaamyada u baahan aqoonsiga macmiilka iyadoo la isticmaalayo shahaado. Macnaha guud ee server-ka, weerarku wuxuu kuu ogolaanayaa inaad beddesho su'aalahaaga SQL wakhtiga samaynta xiriir qarsoodi ah oo macmiilka ah oo ku socda server-ka PostgreSQL. Marka la eego macnaha guud ee libpq, baylahdu waxay u oggolaanaysaa weeraryahan inuu u soo celiyo jawaabta server-ka beenta ah ee macmiilka. Marka la isku daro, baylahdu waxay ogolaataa macluumaadka ku saabsan erayga sirta ah ee macmiilka ama xogta kale ee xasaasiga ah ee la gudbiyo goor hore xidhiidhka in la soo saaro.
Intaa waxaa dheer, waxaan ogaan karnaa daabacaadda Yandex ee nooc cusub oo ah Odyssey 1.2 server proxy, oo loogu talagalay in lagu ilaaliyo barkad isku xirka furan ee PostgreSQL DBMS iyo habaynta marinka weydiinta. Odyssey waxay taageertaa socodsiinta habab badan oo shaqaale ah oo leh maamulayaal badan oo xadhig leh, u wareejinta isla server-ka marka macmiilku dib u xidho, iyo awooda lagu xidho barkadaha isku xidhka isticmaalayaasha iyo xogta xogta. Nambarku wuxuu ku qoran yahay C waxaana lagu qaybiyaa shatiga BSD.
Nooca cusub ee Odyssey wuxuu ku darayaa ilaalinta si uu u xannibo beddelka xogta ka dib markii laga xaajoodo fadhiga SSL (wuxuu kuu ogolaanayaa inaad xannibto weerarrada adigoo isticmaalaya dayacanka kor ku xusan CVE-2021-23214 iyo CVE-2021-23222). Taageerada PAM iyo LDAP waa la fuliyay. Ku darida la dhexgalka nidaamka la socodka Prometheus. Xisaabinta la hagaajiyay ee qiyaasaha istaatistikada si loogu xisaabtamo wax kala iibsiga iyo wakhtiyada fulinta weydiinta.
Source: opennet.ru