14.1، 13.5، 12.9، 11.14، 10.19 اور 9.6.24: تمام معاون پوسٹگری ایس کیو ایل شاخوں کے لیے اصلاحی اپ ڈیٹس تیار کیے گئے ہیں۔ ریلیز 9.6.24 9.6 برانچ کے لیے آخری اپ ڈیٹ ہو گی، جسے بند کر دیا گیا ہے۔ برانچ 10 کے لیے اپ ڈیٹس نومبر 2022، 11 - نومبر 2023 تک، 12 - نومبر 2024 تک، 13 - نومبر 2025 تک، 14 - نومبر 2026 تک تیار کیے جائیں گے۔
نئے ورژن 40 سے زیادہ اصلاحات پیش کرتے ہیں اور سرور کے عمل اور libpq کلائنٹ لائبریری میں دو کمزوریوں (CVE-2021-23214, CVE-2021-23222) کو دور کرتے ہیں۔ یہ کمزوریاں حملہ آور کو مین-ان-دی-مڈل (MITM) حملے کے ذریعے ایک خفیہ مواصلاتی چینل میں داخل ہونے کی اجازت دیتی ہیں۔ حملہ درست کی ضرورت نہیں ہے SSL-سرٹیفکیٹ اور ان سسٹمز کے خلاف استعمال کیا جا سکتا ہے جن کے لیے سرٹیفکیٹ کا استعمال کرتے ہوئے کلائنٹ کی تصدیق کی ضرورت ہوتی ہے۔ سرور سیاق و سباق میں، حملہ پوسٹگری ایس کیو ایل سرور سے ایک انکرپٹڈ کلائنٹ کنکشن کے قیام کے دوران SQL استفسار کے متبادل کی اجازت دیتا ہے۔ libpq سیاق و سباق میں، کمزوری حملہ آور کو کلائنٹ کو جعلی سرور جواب دینے کی اجازت دیتی ہے۔ مشترکہ ہونے پر، یہ کمزوریاں پاس ورڈ کی معلومات یا دوسرے حساس کلائنٹ کے ڈیٹا کو نکالنے کی اجازت دیتی ہیں جو کنکشن کے اوائل میں منتقل کی جاتی ہیں۔
مزید برآں، Yandex نے اپنے Odyssey 1.2 پراکسی سرور کا ایک نیا ورژن جاری کیا ہے، جو PostgreSQL DBMS سے کھلے رابطوں کے پول کو برقرار رکھنے اور درخواست کی روٹنگ کو منظم کرنے کے لیے ڈیزائن کیا گیا ہے۔ اوڈیسی ملٹی تھریڈڈ ہینڈلرز کے ساتھ متعدد ورکر پروسیس کو چلانے کی حمایت کرتا ہے، اور سمت بھی ہے۔ سرور جب ایک کلائنٹ دوبارہ جوڑتا ہے، کنکشن پولز کو صارفین اور ڈیٹا بیس سے باندھنے کی صلاحیت۔ کوڈ C میں لکھا جاتا ہے اور BSD لائسنس کے تحت تقسیم کیا جاتا ہے۔
Odyssey کا نیا ورژن SSL سیشن پر گفت و شنید کے بعد ڈیٹا کے متبادل کو بلاک کرنے کے لیے تحفظ کا اضافہ کرتا ہے (آپ کو اوپر بیان کردہ خطرات CVE-2021-23214 اور CVE-2021-23222 کا استعمال کرتے ہوئے حملوں کو روکنے کی اجازت دیتا ہے)۔ PAM اور LDAP کے لیے سپورٹ نافذ کر دی گئی ہے۔ Prometheus نگرانی کے نظام کے ساتھ انضمام شامل کیا گیا۔ لین دین اور استفسار کے عمل کے اوقات کے حساب سے شماریات کے پیرامیٹرز کا بہتر حساب۔
ماخذ: opennet.ru
