అన్ని మద్దతు ఉన్న PostgreSQL శాఖల కోసం దిద్దుబాటు నవీకరణలు రూపొందించబడ్డాయి: 13.3, 12.7, 11.12, 10.17 మరియు 9.6.22. బ్రాంచ్ 9.6కి సంబంధించిన అప్డేట్లు నవంబర్ 2021 వరకు, 10 నవంబర్ 2022 వరకు, 11 నవంబర్ 2023 వరకు, 12 నవంబర్ 2024 వరకు, 13 నవంబర్ 2025 వరకు రూపొందించబడతాయి. కొత్త విడుదలలు మూడు దుర్బలత్వాలను తొలగిస్తాయి మరియు పేరుకుపోయిన లోపాలను పరిష్కరిస్తాయి.
దుర్బలత్వం CVE-2021-32027 శ్రేణి సూచికలను లెక్కించేటప్పుడు పూర్ణాంకం ఓవర్ఫ్లో కారణంగా డేటా రైటింగ్కు దారితీస్తుంది. SQL ప్రశ్నలలో శ్రేణి విలువలను మార్చడం ద్వారా, SQL ప్రశ్నలను అమలు చేయడానికి యాక్సెస్ ఉన్న దాడి చేసేవాడు ప్రాసెస్ మెమరీ యొక్క ఏకపక్ష ప్రాంతానికి ఏకపక్ష డేటాను వ్రాయవచ్చు మరియు వారి కోడ్ను ప్రత్యేకాధికారాలతో అమలు చేయవచ్చు. సర్వర్ DBMS. "INSERT … ON CONFLICT … DO UPDATE" మరియు "UPDATE … RETURNING" ప్రశ్నలను మార్చేటప్పుడు మరో రెండు దుర్బలత్వాలు (CVE-2021-32028, CVE-2021-32029) ప్రాసెస్ మెమరీ లీక్లకు దారితీస్తాయి.
నాన్-వల్నరబిలిటీ పరిష్కారాలలో ఇవి ఉన్నాయి:
- చేరిన షార్డ్ టేబుల్లను అప్డేట్ చేయడానికి "అప్డేట్...రిటర్నింగ్" చేస్తున్నప్పుడు తప్పు గణనలను తొలగించండి.
- విభజించబడిన పట్టికలను ఉపయోగించడంతో కలిపి విదేశీ కీ పరిమితులు ఉన్నప్పుడు "ALTER TABLE ... ALTER CONSTRAINT" కమాండ్ వైఫల్యాన్ని పరిష్కరించండి.
- “కమిట్ మరియు చైన్” ఫంక్షనాలిటీ మెరుగుపరచబడింది.
- FreeBSD యొక్క కొత్త విడుదలల కోసం, fdatasync మోడ్ ఇప్పుడు డిఫాల్ట్గా thatwal_sync_methodకి సెట్ చేయబడింది.
- vacuum_cleanup_index_scale_factor పరామితి డిఫాల్ట్గా నిలిపివేయబడింది.
- TLS కనెక్షన్లను ప్రారంభించేటప్పుడు ఏర్పడే స్థిర మెమరీ లీక్లు.
- అప్గ్రేడ్ చేయలేని వినియోగదారు పట్టికలలో డేటా రకాల ఉనికి కోసం pg_upgradeకి అదనపు తనిఖీలు జోడించబడ్డాయి.
మూలం: opennet.ru
