Korrigerande uppdateringar har genererats för alla PostgreSQL-grenar som stöds: 14.1, 13.5, 12.9, 11.14, 10.19 och 9.6.24. Release 9.6.24 kommer att vara den sista uppdateringen för 9.6-grenen, som har upphört. Uppdateringar för filial 10 kommer att genereras fram till november 2022, 11 - till november 2023, 12 - till november 2024, 13 - till november 2025, 14 - till november 2026.
De nya versionerna erbjuder mer än 40 korrigeringar och eliminerar två sårbarheter (CVE-2021-23214, CVE-2021-23222) i serverprocessen och libpq-klientbiblioteket. Sårbarheterna tillåter en angripare att bryta sig in i en krypterad kommunikationskanal genom en MITM-attack. Attacken kräver inget giltigt SSL-certifikat och kan utföras mot system som kräver klientautentisering med ett certifikat. I serverns sammanhang låter attacken dig ersätta din egen SQL-fråga när du upprättar en krypterad anslutning från klienten till PostgreSQL-servern. I samband med libpq tillåter sårbarheten en angripare att returnera ett falskt serversvar till klienten. När de kombineras tillåter sårbarheterna information om en klients lösenord eller annan känslig data som överförs tidigt i anslutningen att extraheras.
Dessutom kan vi notera publiceringen av Yandex av en ny version av Odyssey 1.2-proxyservern, utformad för att upprätthålla en pool av öppna anslutningar till PostgreSQL DBMS och organisera frågedirigering. Odyssey stöder körning av flera arbetsprocesser med flertrådiga hanterare, routing till samma server när en klient återansluter och möjligheten att binda anslutningspooler till användare och databaser. Koden är skriven i C och distribueras under BSD-licensen.
Den nya versionen av Odyssey lägger till skydd för att blockera datasubstitution efter att ha förhandlat fram en SSL-session (låter dig blockera attacker med de ovan nämnda sårbarheterna CVE-2021-23214 och CVE-2021-23222). Stöd för PAM och LDAP har implementerats. Lade till integration med Prometheus övervakningssystem. Förbättrad beräkning av statistikparametrar för att ta hänsyn till transaktions- och frågekörningstider.
Källa: opennet.ru