Сформовано коригувальні оновлення для всіх підтримуваних гілок PostgreSQL: 13.3, 12.7, 11.12, 10.17 та 9.6.22. Оновлення для гілки 9.6 формуватимуться до листопада 2021 року, 10 – до листопада 2022 року, 11 – до листопада 2023 року, 12 – до листопада 2024 року, 13 – до листопада 2025 року. У нових випусках усунені три вразливості і виправлені помилки, що накопичилися.
Вразливість CVE-2021-32027 може призвести до запису даних за межі буфера через цілковите переповнення при обчисленнях індексів масивів. Через маніпуляцію зі значеннями масивів у SQL-запитах атакуючий, має доступом до виконання запитів SQL, може записати будь-які дані у довільну область пам'яті процесу і домогтися виконання свого коду з правами сервера СУБД. Дві інші вразливості (CVE-2021-32028, CVE-2021-32029) наводять у течці вмісту пам'яті процесу при маніпуляції із запитами "INSERT ... ON CONFLICT ... DO UPDATE" і "UPDATE ... RETURNING".
З не пов'язаних з уразливістю виправлень можна виділити:
- Усунення некоректних обчислень під час виконання «UPDATE … RETURNING» для оновлення об'єднаних сегментованих таблиць.
- Усунення збою команди ALTER TABLE … ALTER CONSTRAINT за наявності обмежень для зовнішніх ключів у поєднанні з використанням сегментованих таблиць.
- Налагоджено роботу функціональності «COMMIT AND CHAIN».
- Для нових випусків FreeBSD забезпечено стандартне виставлення режиму fdatasync в thatwal_sync_method.
- За промовчанням вимкнено параметр vacuum_cleanup_index_scale_factor.
- Виправлено витоку пам'яті, що проявляються при ініціалізації TLS-з'єднань.
- У pg_upgrade додані додаткові перевірки на наявність у таблицях користувача типів даних, що не підлягають оновленню.
Джерело: opennet.ru