Desteklenen tüm PostgreSQL dalları için düzeltici güncellemeler oluşturuldu: 13.3, 12.7, 11.12, 10.17 ve 9.6.22. Şube 9.6 için güncellemeler Kasım 2021'e kadar, 10 Kasım 2022'ye, 11 Kasım 2023'e, 12 Kasım 2024'e ve 13 Kasım 2025'e kadar oluşturulacaktır. Yeni sürümler üç güvenlik açığını ortadan kaldırıyor ve birikmiş hataları düzeltiyor.
CVE-2021-32027 güvenlik açığı, dizi dizini hesaplamaları sırasında tamsayı taşması nedeniyle sınırların dışında arabellek yazma işlemine neden olabilir. SQL sorgularındaki dizi değerlerini manipüle ederek, SQL sorgularını yürütme erişimi olan bir saldırgan, herhangi bir veriyi işlem belleğinin rastgele bir alanına yazabilir ve DBMS sunucusunun haklarıyla kendi kodunun yürütülmesini sağlayabilir. Diğer iki güvenlik açığı (CVE-2021-32028, CVE-2021-32029), "INSERT ... ON CONFLICT ... DO UPDATE" ve "UPDATE ... RETURNING" isteklerini manipüle ederken işlem belleği içeriğinin sızmasına neden olur.
Güvenlik açığı olmayan düzeltmeler şunları içerir:
- Birleştirilmiş parçalanmış tabloları güncellemek için "GÜNCELLEME...GERİ DÖNME" işlemini gerçekleştirirken hatalı hesaplamaları ortadan kaldırın.
- Bölümlenmiş tabloların kullanımıyla birlikte yabancı anahtar kısıtlamaları olduğunda "ALTER TABLE ... ALTER CONSTRAINT" komut hatasını düzeltin.
- “TAMAM VE ZİNCİR” işlevi iyileştirildi.
- FreeBSD'nin yeni sürümleri için fdatasync modu artık varsayılan olarak thatwal_sync_method olarak ayarlanmıştır.
- Vacuum_cleanup_index_scale_factor parametresi varsayılan olarak devre dışıdır.
- TLS bağlantıları başlatılırken oluşan bellek sızıntıları düzeltildi.
- Kullanıcı tablolarında yükseltilemeyen veri türlerinin varlığına karşı pg_upgrade'e ek kontroller eklendi.
Kaynak: opennet.ru