Përditësimet korrigjuese janë krijuar për të gjitha degët e mbështetura të PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 dhe 9.6.24. Publikimi 9.6.24 do të jetë përditësimi i fundit për degën 9.6, i cili është ndërprerë. Përditësimet për degën 10 do të gjenerohen deri në nëntor 2022, 11 - deri në nëntor 2023, 12 - deri në nëntor 2024, 13 - deri në nëntor 2025, 14 - deri në nëntor 2026.
Versionet e reja ofrojnë më shumë se 40 rregullime dhe eliminojnë dy dobësi (CVE-2021-23214, CVE-2021-23222) në procesin e serverit dhe bibliotekën e klientit libpq. Dobësitë lejojnë një sulmues të depërtojë në një kanal komunikimi të koduar përmes një sulmi MITM. Sulmi nuk kërkon një certifikatë të vlefshme SSL dhe mund të kryhet kundër sistemeve që kërkojnë vërtetimin e klientit duke përdorur një certifikatë. Në kontekstin e serverit, sulmi ju lejon të zëvendësoni pyetjen tuaj SQL në kohën e krijimit të një lidhjeje të koduar nga klienti me serverin PostgreSQL. Në kontekstin e libpq, cenueshmëria lejon një sulmues të kthejë një përgjigje false të serverit te klienti. Kur kombinohen, dobësitë lejojnë nxjerrjen e informacionit në lidhje me fjalëkalimin e klientit ose të dhëna të tjera të ndjeshme të transmetuara në fillim të lidhjes.
Për më tepër, mund të vërejmë publikimin nga Yandex të një versioni të ri të serverit proxy Odyssey 1.2, i krijuar për të mbajtur një grup lidhjesh të hapura me PostgreSQL DBMS dhe për të organizuar kursin e pyetjeve. Odyssey mbështet ekzekutimin e proceseve të shumëfishta të punës me mbajtës me shumë fije, drejtimin në të njëjtin server kur një klient rilidhet dhe aftësinë për të lidhur grupet e lidhjeve me përdoruesit dhe bazat e të dhënave. Kodi është shkruar në C dhe shpërndahet nën licencën BSD.
Versioni i ri i Odyssey shton mbrojtjen për të bllokuar zëvendësimin e të dhënave pas negocimit të një sesioni SSL (ju lejon të bllokoni sulmet duke përdorur dobësitë e sipërpërmendura CVE-2021-23214 dhe CVE-2021-23222). Mbështetja për PAM dhe LDAP është zbatuar. Integrim i shtuar me sistemin e monitorimit Prometheus. Përmirësimi i llogaritjes së parametrave të statistikave për të llogaritur kohën e ekzekutimit të transaksioneve dhe pyetjeve.
Burimi: opennet.ru