Barcha qo'llab-quvvatlanadigan PostgreSQL filiallari uchun tuzatuvchi yangilanishlar yaratildi: 13.4, 12.8, 11.13, 10.18 va 9.6.23. 9.6 filiali uchun yangilanishlar 2021-yil noyabrigacha, 10-noyabr 2022-yil, 11-noyabr 2023-yil, 12-noyabr 2024-yil, 13-noyabr 2025-yil uchun yangilanadi.
Yangi versiyalar 75 ta tuzatishni taklif qiladi va CVE-2021-3677 zaifligini yo'q qiladi, bu esa server jarayoni xotirasi tarkibini maxsus tayyorlangan so'rov orqali o'qish imkonini beradi. Hujum SQL so'rovlarini bajarish huquqiga ega bo'lgan har qanday foydalanuvchi tomonidan amalga oshirilishi mumkin. Muammo faqat PostgreSQL 11, 12 va 13 tarmoqlariga ta'sir qiladi.Ma'lum bo'lgan hujum variantlari max_worker_processes=0 sozlamasi bilan konfiguratsiyalarga ta'sir qilmaydi, lekin bu sozlamaga bog'liq bo'lmagan variantlar ham bo'lishi mumkin.
Manba: opennet.ru