Nabuo ang mga corrective update para sa lahat ng sinusuportahang sangay ng PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 at 9.6.24. Ang release 9.6.24 ang magiging huling update para sa 9.6 branch, na hindi na ipinagpatuloy. Ang mga update para sa branch 10 ay bubuo hanggang Nobyembre 2022, 11 - hanggang Nobyembre 2023, 12 - hanggang Nobyembre 2024, 13 - hanggang Nobyembre 2025, 14 - hanggang Nobyembre 2026.
Ang mga bagong bersyon ay nag-aalok ng mahigit 40 na pag-aayos at tinutugunan ang dalawang kahinaan (CVE-2021-23214, CVE-2021-23222) sa proseso ng server at sa libpq client library. Ang mga kahinaang ito ay nagpapahintulot sa isang attacker na pasukin ang isang naka-encrypt na channel ng komunikasyon sa pamamagitan ng isang man-in-the-middle (MITM) na pag-atake. Ang pag-atake ay hindi nangangailangan ng tamang... SSL-certificate at maaaring gamitin laban sa mga system na nangangailangan ng client authentication gamit ang isang certificate. Sa konteksto ng server, pinapayagan ng pag-atake ang pagpapalit ng SQL query habang nagtatatag ng isang naka-encrypt na koneksyon ng client sa PostgreSQL server. Sa konteksto ng libpq, pinapayagan ng kahinaan ang isang attacker na magbalik ng pekeng tugon ng server sa client. Kapag pinagsama, pinapayagan ng mga kahinaang ito ang pagkuha ng impormasyon ng password o iba pang sensitibong data ng client na ipinadala nang maaga sa koneksyon.
Bukod pa rito, naglabas ang Yandex ng bagong bersyon ng Odyssey 1.2 proxy server nito, na idinisenyo upang mapanatili ang isang pool ng mga bukas na koneksyon sa PostgreSQL DBMS at ayusin ang request routing. Sinusuportahan ng Odyssey ang pagpapatakbo ng maraming proseso ng manggagawa gamit ang mga multi-threaded handler, at ang direksyon ay naaayon din. tagapagsilbi Kapag muling kumonekta ang isang kliyente, ang kakayahang magbigkis ng koneksyon ay maisasama sa mga user at database. Ang code ay nakasulat sa C at ipinamamahagi sa ilalim ng lisensya ng BSD.
Ang bagong bersyon ng Odyssey ay nagdaragdag ng proteksyon upang harangan ang pagpapalit ng data pagkatapos makipag-ayos sa isang SSL session (nagbibigay-daan sa iyong harangan ang mga pag-atake gamit ang mga nabanggit na kahinaan na CVE-2021-23214 at CVE-2021-23222). Ang suporta para sa PAM at LDAP ay ipinatupad. Idinagdag ang pagsasama sa Prometheus monitoring system. Pinahusay na kalkulasyon ng mga parameter ng istatistika para sa mga oras ng pagpapatupad ng transaksyon at query.
Pinagmulan: opennet.ru
