Barcha qo'llab-quvvatlanadigan PostgreSQL filiallari uchun tuzatish yangilanishlari yaratildi: 13.3, 12.7, 11.12, 10.17 va 9.6.22. 9.6 filiali uchun yangilanishlar 2021-yil noyabrgacha, 10-bo'lim 2022-yil noyabrgacha, 11-bo'lim 2023-yil noyabrgacha, 12-bo'lim 2024-yil noyabrgacha va 13-bo'lim 2025-yil noyabrgacha yaratiladi. Yangi nashrlar uchta zaiflik va to'plangan xatolarni tuzatadi.
CVE-2021-32027 zaifligi massiv indekslarini hisoblashda butun sonning toshib ketishi tufayli ma'lumotlarni yozish chegarasidan tashqariga chiqishiga olib kelishi mumkin. SQL so'rovlarida massiv qiymatlarini boshqarish orqali SQL so'rovlarini bajarishga kirish huquqiga ega bo'lgan tajovuzkor jarayon xotirasining ixtiyoriy mintaqasiga ixtiyoriy ma'lumotlarni yozishi va o'z kodini imtiyozlar bilan bajarishi mumkin. server Ma'lumotlar bazasi boshqaruvi. Yana ikkita zaiflik (CVE-2021-32028, CVE-2021-32029) "INSERT … ON CONFLICT … DO UPDATE" va "UPDATE … RETURNING" so'rovlarini boshqarishda jarayon xotirasining oqishiga olib keladi.
Zaiflik bo'lmagan tuzatishlar orasida quyidagilarni ajratib ko'rsatish mumkin:
- Birlashtirilgan bo'limlangan jadvallarni yangilash uchun "YANGILASH ... QAYTMOQDA" ni bajarishda noto'g'ri hisob-kitoblarni tuzating.
- ALTER TABLE uchun tuzatish ... Bo'limlangan jadvallar bilan birgalikda xorijiy kalit cheklovlari mavjud bo'lganda ALTER CONSTRAINT buyrug'i ishlamay qoldi.
- "COMMIT AND CHAIN" funksiyasi yaxshilandi.
- Yangi FreeBSD versiyalari endi fdatasync rejimining sukut bo'yicha thatwal_sync_method ga o'rnatilganligini ta'minlaydi.
- vacuum_cleanup_index_scale_factor parametri sukut bo'yicha o'chirib qo'yilgan.
- TLS ulanishlarini ishga tushirishda yuzaga kelgan xotira oqishlari tuzatildi.
- pg_upgrade endi foydalanuvchi jadvallarida yangilab bo'lmaydigan ma'lumotlar turlarining mavjudligini qo'shimcha tekshirishlarni o'z ichiga oladi.
Manba: opennet.ru
