Nabuo ang mga corrective update para sa lahat ng sinusuportahang sangay ng PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 at 9.6.24. Ang release 9.6.24 ang magiging huling update para sa 9.6 branch, na hindi na ipinagpatuloy. Ang mga update para sa branch 10 ay bubuo hanggang Nobyembre 2022, 11 - hanggang Nobyembre 2023, 12 - hanggang Nobyembre 2024, 13 - hanggang Nobyembre 2025, 14 - hanggang Nobyembre 2026.
Ang mga bagong bersyon ay nag-aalok ng higit sa 40 pag-aayos at nag-aalis ng dalawang kahinaan (CVE-2021-23214, CVE-2021-23222) sa proseso ng server at sa libpq client library. Ang mga kahinaan ay nagpapahintulot sa isang umaatake na makapasok sa isang naka-encrypt na channel ng komunikasyon sa pamamagitan ng isang pag-atake ng MITM. Ang pag-atake ay hindi nangangailangan ng wastong SSL certificate at maaaring isagawa laban sa mga system na nangangailangan ng pagpapatunay ng kliyente gamit ang isang certificate. Sa konteksto ng server, binibigyang-daan ka ng pag-atake na palitan ang sarili mong SQL query sa oras ng pagtatatag ng naka-encrypt na koneksyon mula sa kliyente patungo sa PostgreSQL server. Sa konteksto ng libpq, ang kahinaan ay nagbibigay-daan sa isang umaatake na ibalik ang isang pekeng tugon ng server sa kliyente. Kapag pinagsama, pinahihintulutan ng mga kahinaan ang impormasyon tungkol sa password ng isang kliyente o iba pang sensitibong data na ipinadala nang maaga sa koneksyon na makuha.
Bilang karagdagan, maaari naming tandaan ang paglalathala ng Yandex ng isang bagong bersyon ng Odyssey 1.2 proxy server, na idinisenyo upang mapanatili ang isang pool ng mga bukas na koneksyon sa PostgreSQL DBMS at ayusin ang pagruruta ng query. Sinusuportahan ng Odyssey ang pagpapatakbo ng maraming proseso ng manggagawa na may mga multi-threaded na tagapangasiwa, pagruruta sa parehong server kapag muling kumonekta ang isang kliyente, at ang kakayahang magbigkis ng mga pool ng koneksyon sa mga user at database. Ang code ay nakasulat sa C at ipinamahagi sa ilalim ng lisensya ng BSD.
Ang bagong bersyon ng Odyssey ay nagdaragdag ng proteksyon upang harangan ang pagpapalit ng data pagkatapos makipag-ayos sa isang SSL session (nagbibigay-daan sa iyong harangan ang mga pag-atake gamit ang mga nabanggit na kahinaan na CVE-2021-23214 at CVE-2021-23222). Ang suporta para sa PAM at LDAP ay ipinatupad. Idinagdag ang pagsasama sa Prometheus monitoring system. Pinahusay na kalkulasyon ng mga parameter ng istatistika para sa mga oras ng pagpapatupad ng transaksyon at query.
Pinagmulan: opennet.ru