Nabuo ang mga corrective update para sa lahat ng sinusuportahang sangay ng PostgreSQL: 13.3, 12.7, 11.12, 10.17, at 9.6.22. Mabubuo ang mga update para sa 9.6 branch hanggang Nobyembre 2021, 10 hanggang Nobyembre 2022, 11 hanggang Nobyembre 2023, 12 hanggang Nobyembre 2024, at 13 hanggang Nobyembre 2025. Inaayos ng mga bagong release ang tatlong kahinaan at naipon na mga error.
Ang kahinaan ng CVE-2021-32027 ay maaaring humantong sa out-of-bounds na pagsulat ng data dahil sa isang integer overflow kapag kinakalkula ang mga indeks ng array. Sa pamamagitan ng pagmamanipula ng mga halaga ng array sa mga query sa SQL, ang isang attacker na may access upang isagawa ang mga query sa SQL ay maaaring magsulat ng arbitraryong data sa isang arbitraryong rehiyon ng memorya ng proseso at isagawa ang kanilang code nang may mga pribilehiyo. server DBMS. Dalawa pang kahinaan (CVE-2021-32028, CVE-2021-32029) ang nagreresulta sa mga tagas sa memorya ng proseso kapag minamanipula ang mga query na "INSERT … ON CONFLICT … DO UPDATE" at "UPDATE … RETURNING".
Kabilang sa mga pag-aayos na hindi kahinaan, maaaring i-highlight ang sumusunod:
- Ayusin ang mga maling kalkulasyon kapag nagsasagawa ng "UPDATE ... RETURNING" upang i-update ang mga pinagsama-samang naka-partition na talahanayan.
- Ayusin para sa ALTER TABLE … ALTER CONSTRAINT command failure kapag ang foreign key constraints ay naroroon kasama ng mga partitioned table.
- Ang "COMMIT AND CHAIN" functionality ay napabuti.
- Tinitiyak na ngayon ng mas bagong mga release ng FreeBSD na ang fdatasync mode ay nakatakda sa thatwal_sync_method bilang default.
- Ang parameter ng vacuum_cleanup_index_scale_factor ay hindi pinagana bilang default.
- Inayos ang mga pagtagas ng memorya na nangyari noong sinisimulan ang mga koneksyon sa TLS.
- Kasama na ngayon sa pg_upgrade ang mga karagdagang pagsusuri para sa mga talahanayan ng user upang matiyak na naglalaman ang mga ito ng mga uri ng data na hindi maa-upgrade.
Pinagmulan: opennet.ru
