అన్ని మద్దతు ఉన్న PostgreSQL శాఖల కోసం దిద్దుబాటు నవీకరణలు రూపొందించబడ్డాయి: 13.3, 12.7, 11.12, 10.17 మరియు 9.6.22. బ్రాంచ్ 9.6కి సంబంధించిన అప్డేట్లు నవంబర్ 2021 వరకు, 10 నవంబర్ 2022 వరకు, 11 నవంబర్ 2023 వరకు, 12 నవంబర్ 2024 వరకు, 13 నవంబర్ 2025 వరకు రూపొందించబడతాయి. కొత్త విడుదలలు మూడు దుర్బలత్వాలను తొలగిస్తాయి మరియు పేరుకుపోయిన లోపాలను పరిష్కరిస్తాయి.
దుర్బలత్వం CVE-2021-32027 శ్రేణి సూచిక గణనల సమయంలో పూర్ణాంకం ఓవర్ఫ్లో కారణంగా సరిహద్దుల వెలుపల బఫర్ వ్రాయడానికి దారితీయవచ్చు. SQL ప్రశ్నలలో శ్రేణి విలువలను మార్చడం ద్వారా, SQL ప్రశ్నలను అమలు చేయడానికి ప్రాప్యత కలిగిన దాడి చేసే వ్యక్తి ప్రాసెస్ మెమరీ యొక్క ఏకపక్ష ప్రాంతానికి ఏదైనా డేటాను వ్రాయవచ్చు మరియు DBMS సర్వర్ హక్కులతో అతని కోడ్ అమలును సాధించవచ్చు. రెండు ఇతర దుర్బలత్వాలు (CVE-2021-32028, CVE-2021-32029) "ఇన్సర్ట్ ... ఆన్ కాంఫ్లిక్ట్ ... డు అప్డేట్" మరియు "అప్డేట్ ... రిటర్నింగ్" అభ్యర్థనలను మార్చేటప్పుడు ప్రాసెస్ మెమరీ కంటెంట్ల లీకేజీకి దారి తీస్తుంది.
నాన్-వల్నరబిలిటీ పరిష్కారాలలో ఇవి ఉన్నాయి:
- చేరిన షార్డ్ టేబుల్లను అప్డేట్ చేయడానికి "అప్డేట్...రిటర్నింగ్" చేస్తున్నప్పుడు తప్పు గణనలను తొలగించండి.
- విభజించబడిన పట్టికలను ఉపయోగించడంతో కలిపి విదేశీ కీ పరిమితులు ఉన్నప్పుడు "ALTER TABLE ... ALTER CONSTRAINT" కమాండ్ వైఫల్యాన్ని పరిష్కరించండి.
- “కమిట్ మరియు చైన్” ఫంక్షనాలిటీ మెరుగుపరచబడింది.
- FreeBSD యొక్క కొత్త విడుదలల కోసం, fdatasync మోడ్ ఇప్పుడు డిఫాల్ట్గా thatwal_sync_methodకి సెట్ చేయబడింది.
- vacuum_cleanup_index_scale_factor పరామితి డిఫాల్ట్గా నిలిపివేయబడింది.
- TLS కనెక్షన్లను ప్రారంభించేటప్పుడు ఏర్పడే స్థిర మెమరీ లీక్లు.
- అప్గ్రేడ్ చేయలేని వినియోగదారు పట్టికలలో డేటా రకాల ఉనికి కోసం pg_upgradeకి అదనపు తనిఖీలు జోడించబడ్డాయి.
మూలం: opennet.ru