Apdet corrective geus dihasilkeun pikeun sakabéh cabang PostgreSQL dirojong: 14.1, 13.5, 12.9, 11.14, 10.19 jeung 9.6.24. release 9.6.24 bakal update panungtungan pikeun cabang 9.6, nu geus discontinued. Pembaruan pikeun cabang 10 bakal dilakukeun dugi ka Nopémber 2022, 11 - dugi ka Nopémber 2023, 12 - dugi ka Nopémber 2024, 13 - dugi ka Nopémber 2025, 14 - dugi ka Nopémber 2026.
Versi anyar nawiskeun langkung ti 40 perbaikan sareng ngaleungitkeun dua kerentanan (CVE-2021-23214, CVE-2021-23222) dina prosés server sareng perpustakaan klien libpq. Kerentanan ngamungkinkeun panyerang pikeun ngarobih kana saluran komunikasi énkripsi ngalangkungan serangan MITM. Serangan éta henteu meryogikeun sertipikat SSL anu sah sareng tiasa dilaksanakeun ngalawan sistem anu meryogikeun auténtikasi klien nganggo sertipikat. Dina konteks server, serangan nu ngidinan Anjeun pikeun ngaganti query SQL sorangan dina waktu ngadegkeun sambungan énkripsi ti klien ka server PostgreSQL. Dina konteks libpq, kerentanan ngamungkinkeun panyerang pikeun ngabalikeun réspon server palsu ka klien. Nalika digabungkeun, kerentanan ngamungkinkeun inpormasi ngeunaan kecap akses klien atanapi data sénsitip sanés anu dikirimkeun dina awal sambungan tiasa diékstrak.
Salaku tambahan, urang tiasa nyatet publikasi Yandex versi anyar tina server proxy Odyssey 1.2, dirancang pikeun ngajaga kolam renang sambungan kabuka ka DBMS PostgreSQL sareng ngatur rute pamundut. Odyssey ngarojong ngajalankeun sababaraha prosés worker kalawan pawang multi-threaded, routing ka server sarua lamun klien reconnects, sarta kamampuhan pikeun ngabeungkeut pools sambungan ka pamaké sarta database. Kodeu ditulis dina C sareng disebarkeun dina lisénsi BSD.
Versi anyar Odyssey nambihan panyalindungan pikeun meungpeuk substitusi data saatos negotiating sési SSL (ngamungkinkeun anjeun pikeun meungpeuk serangan nganggo kerentanan anu disebatkeun di luhur CVE-2021-23214 sareng CVE-2021-23222). Rojongan pikeun PAM sareng LDAP parantos dilaksanakeun. Ditambahkeun integrasi sareng sistem ngawaskeun Prometheus. Ningkatkeun itungan parameter statistik pikeun akun pikeun transaksi sareng waktos palaksanaan pamundut.
sumber: opennet.ru