Përditësimet korrigjuese janë krijuar për të gjitha degët e mbështetura të PostgreSQL: 13.3, 12.7, 11.12, 10.17 dhe 9.6.22. Përditësimet për degën 9.6 do të gjenerohen deri në nëntor 2021, 10 deri në nëntor 2022, 11 deri në nëntor 2023, 12 deri në nëntor 2024, 13 deri në nëntor 2025. Publikimet e reja eliminojnë tre dobësi dhe rregullojnë gabimet e grumbulluara.
Dobësia CVE-2021-32027 mund të rezultojë në një shkrim jashtë kufijve të buferit për shkak të një tejkalimi të numrit të plotë gjatë llogaritjeve të indeksit të grupit. Duke manipuluar vlerat e grupeve në pyetjet SQL, një sulmues me akses për të ekzekutuar pyetjet SQL mund të shkruajë çdo të dhënë në një zonë arbitrare të memories së procesit dhe të arrijë ekzekutimin e kodit të tij me të drejtat e serverit DBMS. Dy dobësi të tjera (CVE-2021-32028, CVE-2021-32029) çojnë në rrjedhje të përmbajtjes së kujtesës së procesit kur manipuloni kërkesat "INSERT ... ON CONFLICT ... DO UPDATE" dhe "UPDATE ... RETURNING".
Rregullimet e jo cenueshmërisë përfshijnë:
- Eliminoni llogaritjet e pasakta kur kryeni "UPDATE...RETURNING" për të përditësuar tabelat e bashkuara të copëtuara.
- Rregulloni dështimin e komandës "ALTER TABLE ... ALTER CONSTRAINT" kur ka kufizime të çelësave të huaj në kombinim me përdorimin e tabelave të ndara.
- Funksionaliteti "KOMMIT DHE ZINXHIR" është përmirësuar.
- Për versionet e reja të FreeBSD, modaliteti fdatasync është vendosur tani në thatwal_sync_method si parazgjedhje.
- Parametri vacuum_cleanup_index_scale_factor është i çaktivizuar si parazgjedhje.
- Rregulloi rrjedhjet e kujtesës që ndodhin gjatë inicializimit të lidhjeve TLS.
- Kontrolle shtesë janë shtuar në pg_upgrade për praninë e llojeve të të dhënave në tabelat e përdoruesve që nuk mund të përmirësohen.
Burimi: opennet.ru