Сформовано коригувальні оновлення для всіх підтримуваних гілок PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 та 9.6.24. Випуск 9.6.24 стане останнім оновленням для гілки 9.6, підтримка якої припинена. Оновлення для гілки 10 формуватимуться до листопада 2022 року, 11 – до листопада 2023 року, 12 – до листопада 2024 року, 13 – до листопада 2025 року, 14 – до листопада 2026 року.
У нових версіях запропоновано понад 40 виправлень та усунено дві вразливості (CVE-2021-23214, CVE-2021-23222) у серверному процесі та клієнтській бібліотеці libpq. Вразливості дозволяють атакуючому вклинитися в шифрований канал зв'язку через MITM-атаки. Атака не вимагає наявності коректного SSL-сертифіката і може бути проведена проти систем, які потребують автентифікації клієнта з сертифікату. У контексті сервера атака дозволяє здійснити підстановку свого SQL-запиту в момент встановлення шифрованого з'єднання клієнта з північчю PostgreSQL. У контексті libpq вразливість дозволяє атакуючому повернути клієнту фіктивну відповідь сервера. У поєднанні вразливості дозволяють отримати інформацію про пароль або інші конфіденційні дані клієнта, що передаються на ранньому етапі з'єднання.
Додатково можна відзначити публікацію компанією Yandex нової версії проксі-сервера Odyssey 1.2, призначеного для підтримки пулу відкритих з'єднань до СУБД PostgreSQL та організації маршрутизації запитів. Odyssey підтримує запуск кількох робочих процесів з багатопотоковими обробниками, напрямок до того ж серверу при повторному з'єднанні клієнта, можливість прив'язування пулів з'єднань до користувачів та БД. Код написаний мовою Сі та поширюється під ліцензією BSD.
У новій версії Odyssey доданий захист для блокування підстановки даних після узгодження SSL-сеансу (дозволяє блокувати атаки з використанням вказаних вище вразливостей CVE-2021-23214 і CVE-2021-23222). Реалізовано підтримку PAM та LDAP. Додано інтеграцію системою моніторингу Prometheus. Покращено обчислення параметрів статистики для врахування часу виконання транзакцій та запитів.
Джерело: opennet.ru