Nabuo ang mga corrective update para sa lahat ng sinusuportahang sangay ng PostgreSQL: 13.3, 12.7, 11.12, 10.17 at 9.6.22. Ang mga update para sa branch 9.6 ay bubuo hanggang Nobyembre 2021, 10 hanggang Nobyembre 2022, 11 hanggang Nobyembre 2023, 12 hanggang Nobyembre 2024, 13 hanggang Nobyembre 2025. Ang mga bagong release ay nag-aalis ng tatlong mga kahinaan at nag-aayos ng mga naipon na mga error.
Vulnerability CVE-2021-32027 ay maaaring magresulta sa isang out-of-bounds buffer write dahil sa isang integer overflow sa panahon ng mga kalkulasyon ng array index. Sa pamamagitan ng pagmamanipula ng mga halaga ng array sa mga query sa SQL, ang isang attacker na may access upang magsagawa ng mga query sa SQL ay maaaring magsulat ng anumang data sa isang arbitrary na lugar ng memorya ng proseso at makamit ang pagpapatupad ng kanyang code na may mga karapatan ng DBMS server. Dalawang iba pang mga kahinaan (CVE-2021-32028, CVE-2021-32029) ang humahantong sa pagtagas ng mga nilalaman ng memorya ng proseso kapag minamanipula ang mga kahilingang βINSERT ... ON CONFLICT ... DO UPDATEβ at βUPDATE ... RETURNINGβ na kahilingan.
Kasama sa mga pag-aayos na hindi kahinaan ang:
- Tanggalin ang mga maling kalkulasyon kapag nagsasagawa ng "UPDATE...RETURNING" upang i-update ang mga pinagsamang sharded table.
- Ayusin ang "ALTER TABLE ... ALTER CONSTRAINT" na kabiguan ng command kapag may mga dayuhang key constraints kasabay ng paggamit ng mga partitioned table.
- Ang "COMMIT AND CHAIN" functionality ay napabuti.
- Para sa mga bagong release ng FreeBSD, ang fdatasync mode ay nakatakda na ngayon sa thatwal_sync_method bilang default.
- Ang parameter ng vacuum_cleanup_index_scale_factor ay hindi pinagana bilang default.
- Inayos ang mga pagtagas ng memory na nangyayari kapag sinisimulan ang mga koneksyon sa TLS.
- Ang mga karagdagang pagsusuri ay idinagdag sa pg_upgrade para sa pagkakaroon ng mga uri ng data sa mga talahanayan ng user na hindi maa-upgrade.
Pinagmulan: opennet.ru