14.1، 13.5، 12.9، 11.14، 10.19 اور 9.6.24: تمام معاون پوسٹگری ایس کیو ایل شاخوں کے لیے اصلاحی اپ ڈیٹس تیار کیے گئے ہیں۔ ریلیز 9.6.24 9.6 برانچ کے لیے آخری اپ ڈیٹ ہو گی، جسے بند کر دیا گیا ہے۔ برانچ 10 کے لیے اپ ڈیٹس نومبر 2022، 11 - نومبر 2023 تک، 12 - نومبر 2024 تک، 13 - نومبر 2025 تک، 14 - نومبر 2026 تک تیار کیے جائیں گے۔
نئے ورژن 40 سے زیادہ اصلاحات پیش کرتے ہیں اور سرور کے عمل اور libpq کلائنٹ لائبریری میں دو کمزوریوں (CVE-2021-23214, CVE-2021-23222) کو ختم کرتے ہیں۔ کمزوریاں حملہ آور کو MITM حملے کے ذریعے ایک خفیہ مواصلاتی چینل میں داخل ہونے کی اجازت دیتی ہیں۔ حملے کے لیے ایک درست SSL سرٹیفکیٹ کی ضرورت نہیں ہے اور یہ ان سسٹمز کے خلاف کیا جا سکتا ہے جن کے لیے سرٹیفکیٹ کا استعمال کرتے ہوئے کلائنٹ کی تصدیق کی ضرورت ہوتی ہے۔ سرور کے تناظر میں، حملہ آپ کو کلائنٹ سے PostgreSQL سرور سے ایک انکرپٹڈ کنکشن قائم کرنے کے وقت آپ کے اپنے SQL استفسار کو تبدیل کرنے کی اجازت دیتا ہے۔ libpq کے تناظر میں، کمزوری حملہ آور کو کلائنٹ کو جعلی سرور کا جواب واپس کرنے کی اجازت دیتی ہے۔ مشترکہ ہونے پر، کمزوریاں کلائنٹ کے پاس ورڈ کے بارے میں معلومات یا کنکشن کے اوائل میں منتقل ہونے والے دوسرے حساس ڈیٹا کو نکالنے کی اجازت دیتی ہیں۔
مزید برآں، ہم Odyssey 1.2 پراکسی سرور کے ایک نئے ورژن کی Yandex کی اشاعت کو نوٹ کر سکتے ہیں، جو PostgreSQL DBMS سے کھلے رابطوں کے پول کو برقرار رکھنے اور استفسار کی روٹنگ کو منظم کرنے کے لیے ڈیزائن کیا گیا ہے۔ Odyssey ملٹی تھریڈڈ ہینڈلرز کے ساتھ ایک سے زیادہ ورکر پروسیسز کو چلانے، کلائنٹ کے دوبارہ جڑنے پر ایک ہی سرور پر روٹ کرنے، اور کنکشن پولز کو صارفین اور ڈیٹا بیس سے منسلک کرنے کی صلاحیت کی حمایت کرتا ہے۔ کوڈ C میں لکھا جاتا ہے اور BSD لائسنس کے تحت تقسیم کیا جاتا ہے۔
Odyssey کا نیا ورژن SSL سیشن پر گفت و شنید کے بعد ڈیٹا کے متبادل کو بلاک کرنے کے لیے تحفظ کا اضافہ کرتا ہے (آپ کو اوپر بیان کردہ خطرات CVE-2021-23214 اور CVE-2021-23222 کا استعمال کرتے ہوئے حملوں کو روکنے کی اجازت دیتا ہے)۔ PAM اور LDAP کے لیے سپورٹ نافذ کر دی گئی ہے۔ Prometheus نگرانی کے نظام کے ساتھ انضمام شامل کیا گیا۔ لین دین اور استفسار کے عمل کے اوقات کے حساب سے شماریات کے پیرامیٹرز کا بہتر حساب۔
ماخذ: opennet.ru