Các bản cập nhật khắc phục đã được tạo cho tất cả các nhánh PostgreSQL được hỗ trợ: 13.4, 12.8, 11.13, 10.18 và 9.6.23. Các bản cập nhật cho nhánh 9.6 sẽ được tạo cho đến tháng 2021 năm 10, ngày 2022 đến tháng 11 năm 2023, ngày 12 đến tháng 2024 năm 13, ngày 2025 đến tháng XNUMX năm XNUMX, ngày XNUMX đến tháng XNUMX năm XNUMX.
Các phiên bản mới cung cấp 75 bản sửa lỗi và loại bỏ lỗ hổng CVE-2021-3677, cho phép đọc nội dung trong bộ nhớ của quy trình máy chủ thông qua một yêu cầu được tạo đặc biệt. Cuộc tấn công có thể được thực hiện bởi bất kỳ người dùng nào có quyền truy cập để thực hiện các truy vấn SQL. Sự cố chỉ ảnh hưởng đến các nhánh PostgreSQL 11, 12 và 13. Các biến thể tấn công đã biết không ảnh hưởng đến cấu hình có cài đặt max_worker_processes=0, nhưng có thể có các biến thể không phụ thuộc vào cài đặt này.
Nguồn: opennet.ru