Korrigerande uppdateringar har genererats för alla PostgreSQL-grenar som stöds: 13.3, 12.7, 11.12, 10.17 och 9.6.22. Uppdateringar för 9.6-grenen kommer att skapas fram till november 2021, 10 - till november 2022, 11 - till november 2023, 12 - till november 2024, 13 - till november 2025. De nya utgåvorna åtgärdar tre sårbarheter och fixar eftersläpningar.
Sårbarhet CVE-2021-32027 kan resultera i att data skrivs utanför buffertgränserna på grund av ett heltalsspill vid beräkning av arrayindex. Genom att manipulera array-värden i SQL-frågor kan en angripare som har tillgång till att köra SQL-frågor skriva vilken data som helst till ett godtyckligt område av processminne och uppnå exekvering av sin kod med rättigheterna för DBMS-servern. Två andra sårbarheter (CVE-2021-32028, CVE-2021-32029) gör att processminne läcker vid manipulering av "INSERT ... ON CONFLICT ... DO UPDATE" och "UPDATE ... RETURNING"-frågor.
Icke-sårbarhetskorrigeringar inkluderar:
- Eliminering av felaktiga beräkningar när du utför "UPPDATERA ... ÅTERKOMMANDE" för att uppdatera sammanfogade sönderdelade tabeller.
- Åtgärda krasch av kommandot "ALTER TABLE ... ALTER CONSTRAINT" när det finns begränsningar för främmande nyckel i kombination med att använda fragmenterade tabeller.
- Arbetet med funktionen "COMMIT AND CHAIN" har justerats.
- För nya utgåvor av FreeBSD är standardläget för fdatasync satt till thatwal_sync_method.
- Parametern vacuum_cleanup_index_scale_factor är inaktiverad som standard.
- Fixade minnesläckor som uppstod vid initialisering av TLS-anslutningar.
- Lade till ytterligare kontroller i pg_upgrade för att kontrollera om användartabeller har datatyper som inte kan uppgraderas.
Källa: opennet.ru