Masasisho sahihi yametolewa kwa matawi yote ya PostgreSQL yanayotumika: 13.3, 12.7, 11.12, 10.17 na 9.6.22. Masasisho ya tawi la 9.6 yatatolewa hadi Novemba 2021, 10 hadi Novemba 2022, 11 hadi Novemba 2023, 12 hadi Novemba 2024, 13 hadi Novemba 2025. Matoleo mapya huondoa athari tatu na kurekebisha makosa yaliyokusanywa.
Athari za CVE-2021-32027 zinaweza kusababisha uandishi wa bafa ya nje ya mipaka kutokana na wingi kamili wakati wa ukokotoaji wa faharasa ya safu. Kwa kuchezea thamani za safu katika hoja za SQL, mshambulizi aliye na ufikiaji wa kutekeleza hoja za SQL anaweza kuandika data yoyote kwa eneo lisilo la kawaida la kumbukumbu ya mchakato na kufikia utekelezaji wa nambari yake kwa haki za seva ya DBMS. Athari zingine mbili (CVE-2021-32028, CVE-2021-32029) husababisha kuvuja kwa yaliyomo kwenye kumbukumbu ya mchakato wakati wa kudhibiti maombi ya "INGIZA ... KWENYE MGOGORO ... FANYA USASISHA" na "SASISHA ... KUREJESHA".
Marekebisho yasiyo ya hatari ni pamoja na:
- Ondoa hesabu zisizo sahihi wakati wa kutekeleza "SASISHA...RETURNING" ili kusasisha majedwali yaliyoshirikiwa.
- Rekebisha kushindwa kwa amri ya "ALTER TABLE ... ALTER CONSTRAINT" wakati kuna vikwazo vya vitufe vya kigeni pamoja na kutumia jedwali zilizogawanywa.
- Utendaji wa "COMMIT AND CHAIN" umeboreshwa.
- Kwa matoleo mapya ya FreeBSD, modi ya fdatasync sasa imewekwa kuwa thatwal_sync_method kwa chaguomsingi.
- Kigezo cha vacuum_cleanup_index_scale_factor kimezimwa kwa chaguomsingi.
- Uvujaji wa kumbukumbu usiobadilika unaotokea wakati wa kuanzisha miunganisho ya TLS.
- Ukaguzi wa ziada umeongezwa kwa pg_upgrade kwa uwepo wa aina za data katika majedwali ya watumiaji ambayo hayawezi kuboreshwa.
Chanzo: opennet.ru