มีการสร้างการอัปเดตแก้ไขสำหรับสาขา PostgreSQL ที่รองรับทั้งหมด: 14.1, 13.5, 12.9, 11.14, 10.19 และ 9.6.24 รีลีส 9.6.24 จะเป็นการอัปเดตครั้งสุดท้ายสำหรับเวอร์ชัน 9.6 ซึ่งได้ถูกยกเลิกไปแล้ว การอัปเดตสำหรับสาขา 10 จะถูกสร้างขึ้นจนถึงเดือนพฤศจิกายน 2022, 11 - จนถึงเดือนพฤศจิกายน 2023, 12 - จนถึงเดือนพฤศจิกายน 2024, 13 - จนถึงเดือนพฤศจิกายน 2025, 14 - จนถึงเดือนพฤศจิกายน 2026
เวอร์ชันใหม่มีการแก้ไขมากกว่า 40 รายการและกำจัดช่องโหว่สองรายการ (CVE-2021-23214, CVE-2021-23222) ในกระบวนการเซิร์ฟเวอร์และไลบรารีไคลเอ็นต์ libpq ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเจาะเข้าไปในช่องทางการสื่อสารที่เข้ารหัสผ่านการโจมตี MITM การโจมตีไม่ต้องการใบรับรอง SSL ที่ถูกต้องและสามารถดำเนินการกับระบบที่ต้องมีการตรวจสอบสิทธิ์ไคลเอนต์โดยใช้ใบรับรอง ในบริบทของเซิร์ฟเวอร์ การโจมตีทำให้คุณสามารถแทนที่การสืบค้น SQL ของคุณในขณะที่สร้างการเชื่อมต่อที่เข้ารหัสจากไคลเอนต์ไปยังเซิร์ฟเวอร์ PostgreSQL ในบริบทของ libpq ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถส่งคืนการตอบสนองของเซิร์ฟเวอร์ปลอมไปยังไคลเอนต์ได้ เมื่อรวมกันแล้ว ช่องโหว่ดังกล่าวจะทำให้สามารถดึงข้อมูลเกี่ยวกับรหัสผ่านของลูกค้าหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ส่งผ่านในช่วงต้นของการเชื่อมต่อได้
นอกจากนี้ เรายังสังเกตการเผยแพร่ของพร็อกซีเซิร์ฟเวอร์ Odyssey 1.2 เวอร์ชันใหม่โดย Yandex ซึ่งได้รับการออกแบบมาเพื่อรักษากลุ่มการเชื่อมต่อแบบเปิดไปยัง PostgreSQL DBMS และจัดระเบียบเส้นทางการสืบค้น Odyssey รองรับการรันกระบวนการของผู้ปฏิบัติงานหลายกระบวนการด้วยตัวจัดการแบบมัลติเธรด การกำหนดเส้นทางไปยังเซิร์ฟเวอร์เดียวกันเมื่อไคลเอนต์เชื่อมต่ออีกครั้ง และความสามารถในการผูกพูลการเชื่อมต่อกับผู้ใช้และฐานข้อมูล รหัสนี้เขียนด้วยภาษา C และเผยแพร่ภายใต้ใบอนุญาต BSD
Odyssey เวอร์ชันใหม่เพิ่มการป้องกันเพื่อบล็อกการทดแทนข้อมูลหลังจากเจรจาเซสชัน SSL (อนุญาตให้คุณบล็อกการโจมตีโดยใช้ช่องโหว่ที่กล่าวมาข้างต้น CVE-2021-23214 และ CVE-2021-23222) มีการรองรับ PAM และ LDAP แล้ว เพิ่มการบูรณาการกับระบบติดตาม Prometheus ปรับปรุงการคำนวณพารามิเตอร์ทางสถิติเพื่อพิจารณาธุรกรรมและเวลาในการดำเนินการแบบสอบถาม
ที่มา: opennet.ru