ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > బలహీనతలతో PostgreSQL నవీకరణ పరిష్కరించబడింది. ఒడిస్సీ కనెక్షన్ బ్యాలెన్సర్ 1.2 విడుదలైంది

బలహీనతలతో PostgreSQL నవీకరణ పరిష్కరించబడింది. ఒడిస్సీ కనెక్షన్ బ్యాలెన్సర్ 1.2 విడుదలైంది

అన్ని మద్దతు ఉన్న PostgreSQL శాఖల కోసం దిద్దుబాటు నవీకరణలు రూపొందించబడ్డాయి: 14.1, 13.5, 12.9, 11.14, 10.19 మరియు 9.6.24. 9.6.24 విడుదల నిలిపివేయబడిన 9.6 బ్రాంచ్‌కి చివరి అప్‌డేట్ అవుతుంది. బ్రాంచ్ 10కి సంబంధించిన అప్‌డేట్‌లు నవంబర్ 2022 వరకు, 11 - నవంబర్ 2023 వరకు, 12 - నవంబర్ 2024 వరకు, 13 - నవంబర్ 2025 వరకు, 14 - నవంబర్ 2026 వరకు రూపొందించబడతాయి.

కొత్త సంస్కరణలు 40 కంటే ఎక్కువ పరిష్కారాలను అందిస్తాయి మరియు సర్వర్ ప్రక్రియ మరియు libpq క్లయింట్ లైబ్రరీలో రెండు దుర్బలత్వాలను (CVE-2021-23214, CVE-2021-23222) తొలగిస్తాయి. MITM దాడి ద్వారా ఎన్‌క్రిప్టెడ్ కమ్యూనికేషన్ ఛానెల్‌లోకి ప్రవేశించడానికి అటాకర్‌ని దుర్బలత్వాలు అనుమతిస్తాయి. దాడికి చెల్లుబాటు అయ్యే SSL ప్రమాణపత్రం అవసరం లేదు మరియు సర్టిఫికేట్‌ని ఉపయోగించి క్లయింట్ ప్రమాణీకరణ అవసరమయ్యే సిస్టమ్‌లకు వ్యతిరేకంగా నిర్వహించబడుతుంది. సర్వర్ సందర్భంలో, క్లయింట్ నుండి PostgreSQL సర్వర్‌కు ఎన్‌క్రిప్టెడ్ కనెక్షన్‌ని ఏర్పాటు చేసే సమయంలో మీ స్వంత SQL ప్రశ్నను భర్తీ చేయడానికి దాడి మిమ్మల్ని అనుమతిస్తుంది. libpq సందర్భంలో, దుర్బలత్వం క్లయింట్‌కు బోగస్ సర్వర్ ప్రతిస్పందనను తిరిగి ఇవ్వడానికి దాడి చేసేవారిని అనుమతిస్తుంది. కలిపినప్పుడు, దుర్బలత్వాలు క్లయింట్ యొక్క పాస్‌వర్డ్ లేదా కనెక్షన్ ప్రారంభంలో ప్రసారం చేయబడిన ఇతర సున్నితమైన డేటా గురించి సమాచారాన్ని సంగ్రహించడానికి అనుమతిస్తాయి.

అదనంగా, ఓడిస్సీ 1.2 ప్రాక్సీ సర్వర్ యొక్క కొత్త వెర్షన్ యొక్క Yandex ద్వారా ప్రచురణను మేము గమనించవచ్చు, ఇది PostgreSQL DBMSకి ఓపెన్ కనెక్షన్‌ల సమూహాన్ని నిర్వహించడానికి మరియు క్వెరీ రూటింగ్‌ను నిర్వహించడానికి రూపొందించబడింది. బహుళ-థ్రెడ్ హ్యాండ్లర్‌లతో బహుళ వర్కర్ ప్రాసెస్‌లను అమలు చేయడం, క్లయింట్ మళ్లీ కనెక్ట్ అయినప్పుడు అదే సర్వర్‌కు రూటింగ్ చేయడం మరియు వినియోగదారులు మరియు డేటాబేస్‌లకు కనెక్షన్ పూల్‌లను బైండ్ చేసే సామర్థ్యాన్ని ఒడిస్సీ మద్దతు ఇస్తుంది. కోడ్ C లో వ్రాయబడింది మరియు BSD లైసెన్స్ క్రింద పంపిణీ చేయబడుతుంది.

Odyssey యొక్క కొత్త వెర్షన్ SSL సెషన్‌ను చర్చించిన తర్వాత డేటా ప్రత్యామ్నాయాన్ని నిరోధించడానికి రక్షణను జోడిస్తుంది (పైన పేర్కొన్న దుర్బలత్వాలను CVE-2021-23214 మరియు CVE-2021-23222 ఉపయోగించి దాడులను నిరోధించడానికి మిమ్మల్ని అనుమతిస్తుంది). PAM మరియు LDAP కోసం మద్దతు అమలు చేయబడింది. ప్రోమేతియస్ మానిటరింగ్ సిస్టమ్‌తో ఏకీకరణ జోడించబడింది. లావాదేవీ మరియు క్వెరీ ఎగ్జిక్యూషన్ సమయాలను లెక్కించడానికి గణాంకాల పారామితుల యొక్క మెరుగైన గణన.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి